Den Kern der Schwachstelle beschreibt Zellic-Mitgründerin Luna Tong (auch bekannt als cts und gf_256) in einer auf GitHub geteilten Darstellung als „rxgk-Page-Cache-Schreibzugriff aufgrund eines fehlenden Copy-on-Write-Schutzes in rxgk_decrypt_skb". Der konkrete Fehler sitze in der Funktion rxgk_decrypt_skb, die einen eingehenden Socket-Puffer (sk_buff) auf der Empfangsseite entschlüsselt.
In diesem Code-Pfad verarbeitet der Kernel Speicherseiten, die teilweise mit dem Page-Cache anderer Prozesse geteilt werden – eine übliche Linux-Optimierung, die normalerweise durch Copy-on-Write geschützt ist: Sobald ein Schreibzugriff auf eine geteilte Seite erfolgt, wird vorab eine private Kopie angelegt, damit der Schreibvorgang nicht in die Daten eines anderen Prozesses übergreift.
Weil dieser Schutz in rxgk_decrypt_skb fehlt, lassen sich Daten in den Speicher privilegierter Prozesse oder – je nach Angriffsweg – in den Page-Cache privilegierter Dateien wie /etc/shadow, /etc/sudoers oder eines SUID-Binaries schreiben. Daraus ergibt sich die lokale Rechteausweitung.
Laut Zellic gilt DirtyDecrypt als Variante mehrerer verwandter Schwachstellen, die allesamt Root-Zugriff auf verwundbaren Systemen ermöglichen: Copy Fail (CVE-2026-31431), Dirty Frag alias Copy Fail 2 (CVE-2026-43284 und CVE-2026-43500) sowie Fragnesia (CVE-2026-46300). Copy Fail, eine LPE-Lücke in der kryptografischen Socket-Schnittstelle AF_ALG, wurde von Forschern bei Theori offengelegt; eine Woche später folgte Dirty Frag, das Copy Fail um zwei Page-Cache-Schreibprimitiven erweitert.
Der Sicherheitsforscher Hyunwoo Kim sah sich zur vorzeitigen Veröffentlichung gezwungen, nachdem das vereinbarte Embargo vorzeitig endete: Ein eingespielter Patch für CVE-2026-43284 hatte einen anderen, vom Embargo nichts ahnenden Forscher dazu gebracht, den Fehler eigenständig zu analysieren und zu publizieren. Dieser Forscher, der unter den Aliassen 0xdeadbeefnetwork und afflicted.sh auftritt, erklärte, er habe im Commit den XFRM-ESP-in-UDP-MSG_SPLICE_PAGES-Pfad ohne Copy-on-Write gegen geteilte Pipe-Seiten als LPE-Primitive erkannt und einen PoC gebaut. Es handle sich um die „n-Day-Waffenisierung eines öffentlichen Upstream-Commits, was gängige Praxis ist, sobald ein sicherheitsrelevanter Fix in einem öffentlichen Baum landet". Fragnesia wiederum ist eine weitere Variante von Dirty Frag und betrifft das XFRM-ESP-in-TCP-Subsystem, mit demselben Ergebnis: unprivilegierte lokale Angreifer können schreibgeschützte Dateiinhalte im Kernel-Page-Cache verändern und Root-Rechte erlangen.
Parallel wurden weitere Linux-Lücken bekannt: eine LPE-Schwachstelle im PackageKit-Daemon (CVE-2026-41651 alias Pack2TheRoot, CVSS 8.8) sowie ein Fehler bei der Rechteverwaltung im Kernel (CVE-2026-46333 alias ssh-keysign-pwn, CVSS 5.5), durch den ein unprivilegierter lokaler Nutzer Root-eigene Geheimnisse wie private SSH-Schlüssel auslesen kann. Mehrere Distributionen haben für CVE-2026-46333 bereits Advisories veröffentlicht.
Die Häufung neuer Offenlegungen innerhalb weniger Wochen hat Kernel-Entwickler dazu bewogen, einen Vorschlag für einen Notfall-„Killswitch" zu prüfen. Er soll es Administratoren erlauben, verwundbare Kernel-Funktionen zur Laufzeit zu deaktivieren, bis ein Patch für eine Zero-Day-Lücke vorliegt. Laut dem Vorschlag des Kernel-Entwicklers und Maintainers Sasha Levin lässt ein Killswitch eine privilegierte Bedienperson eine ausgewählte Kernel-Funktion einen festen Wert zurückgeben, ohne ihren Rumpf auszuführen. Es gebe weder eine Erlaubnisliste noch eine Prüfung des Rückgabetyps; sobald aktiviert, wirke die Änderung auf jeder CPU, bis sie deaktiviert oder das System neu gestartet werde.
Rocky Linux hat zudem ein optionales Sicherheits-Repository eingeführt, über das die Distribution dringende Fixes schnell ausliefern kann – vor allem dann, wenn schwere Schwachstellen öffentlich werden, bevor koordinierte Upstream-Fixes eintreffen. Das Repository ist standardmäßig deaktiviert; Administratoren können sich bei Bedarf bewusst dafür entscheiden. Es ziele nur auf „spezifische, eng umrissene" Fälle, in denen eine bedeutende Schwachstelle öffentlich ist, Exploit-Code existiert und noch kein Upstream-Patch verfügbar ist. Die Maintainer betonen, dass es kein Ersatz für den regulären Release-Prozess sei: Entscheide Upstream gegen einen Fix, werde das nächste Upstream-Kernel-Release die gepatchte Version ablösen – wer seinen Kernel nicht per Versionssperre fixiert habe, verliere dann den Rocky-Linux-Fix.
