Linux 6.6.141, 6.12.91, 6.18.33 Parches de seguridad urgentes para dos vulnerabilidades de escalada de privilegios

El contexto: La tormenta perfecta de las vulnerabilidades del kernel

El lanzamiento de estas versiones estables llega en un momento de alta alerta en el ecosistema Linux.

Durante las últimas semanas, se han hecho públicas dos vulnerabilidades de elevación de privilegios que afectan a la mayoría de las distribuciones Linux.

La primera en aparecer fue "Copy Fail" (CVE-2026-31431), una falla en la API criptográfica del kernel que permite a un atacante local escalar a root.

Poco después, el investigador Hyunwoo Kim reveló "Dirty Frag", una vulnerabilidad aún más crítica compuesta por dos CVE (CVE-2026-43284 para el subsistema IPsec ESP y CVE-2026-43500 para rxrpc) que permite el mismo nivel de compromiso y cuyos exploits se hicieron públicos antes de que los parches estuvieran disponibles.

La gravedad de estas fallas es tal que el Centro de Ciberseguridad de Canadá y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) las han incluido en sus catálogos de vulnerabilidades activamente explotadas, instando a la actualización inmediata.

¿Qué vulnerabilidades corrigen estas versiones?

Las versiones estables 6.6.141, 6.12.91 y 6.18.33 incorporan los parches oficiales para mitigar los siguientes fallos de seguridad:

Vulnerabilidad	CVE	Componente Afectado	Riesgo	Impacto
Copy Fail	CVE-2026-31431	API criptográfica (algif_aead)	Alto (CVSS 7.8)	Escalada de privilegios local a root
Dirty Frag (ESP)	CVE-2026-43284	IPsec ESP (esp4, esp6)	Alto	Escalada de privilegios local a root mediante corrupción de memoria
Dirty Frag (rxrpc)	CVE-2026-43500	Subsistema rxrpc	Alto	Escalada de privilegios local a root

Copy Fail: La puerta trasera en la API criptográfica

La vulnerabilidad Copy Fail reside en el manejo del módulo algif_aead, que forma parte de la API criptográfica del kernel accesible desde el espacio de usuario mediante AF_ALG.

Un atacante con acceso local puede explotar esta falla para obtener privilegios de root sin necesidad de autenticación adicional.

Dirty Frag: Cuando la desfragmentación de memoria se vuelve peligrosa

Dirty Frag explota una debilidad en las rutas rápidas de descifrado in situ de IPsec ESP y rxrpc.

Cuando un socket buffer transporta fragmentos paginados que no son propiedad privada del kernel (por ejemplo, páginas de tubería adjuntas mediante splice(2) o sendfile(2)), la ruta de recepción descifra directamente sobre esas páginas respaldadas externamente, exponiendo o corrompiendo texto plano al que un proceso sin privilegios aún tiene una referencia.

El resultado es la escalada inmediata a root en todas las distribuciones principales.

AlmaLinux confirmó que "cada lanzamiento de AlmaLinux compatible está afectado" y que existe un exploit público funcional.

Disponibilidad y cómo actualizar según tu distribución

Las versiones parcheadas ya están disponibles en los repositorios de las principales distribuciones.

La siguiente tabla resume las versiones de kernel seguras para cada rama LTS:

Rama LTS	Versión parcheada	EOL (fin de soporte)
6.6.x	6.6.141	Diciembre 2027
6.12.x	6.12.91	Diciembre 2028
6.18.x	6.18.33	Diciembre 2028

Recomendaciones por distribución

Para usuarios de AlmaLinux / Rocky Linux / RHEL:

Los parches ya están en los repositorios de producción . Para actualizar, ejecute:

sudo dnf clean metadata && sudo dnf upgrade
sudo reboot

Para usuarios de Debian / Ubuntu:

Las actualizaciones están disponibles a través de los canales de seguridad estándar:

sudo apt update && sudo apt full-upgrade
sudo reboot

Para usuarios de Arch Linux / openSUSE Tumbleweed:

Estas distribuciones rolling release ya deberían tener las versiones actualizadas en sus repositorios. Simplemente ejecute la actualización completa del sistema.

Para usuarios de distribuciones basadas en kernels personalizados:

Consulte los avisos de seguridad específicos de su proveedor. Distribuciones como SUSE, Oracle Linux y Amazon Linux 2 también han emitido parches de seguridad.

Medidas de mitigación temporal (si no puede actualizar)

Si por algún motivo no puede aplicar el kernel parcheado de inmediato, el proyecto AlmaLinux ha documentado mitigaciones temporales que bloquean los módulos vulnerables:

Para mitigar Copy Fail:

echo 'install algif_aead /bin/false' | sudo tee /etc/modprobe.d/disable-copyfail.conf
sudo modprobe -r algif_aead

Para mitigar Dirty Frag:

for module in esp4 esp6 rxrpc; do
    echo "install $module /bin/false" | sudo tee -a /etc/modprobe.d/disable-dirtyfrag.conf
done
sudo modprobe -r esp4 esp6 rxrpc

Advertencias importantes:

• Deshabilitar los módulos ESP rompe las conexiones VPN IPsec.

• rxrpc solo afecta al sistema de archivos AFS (Andrew File System), que apenas se utiliza fuera de entornos académicos específicos.

• Estas mitigaciones no son permanentes; la solución definitiva es instalar el kernel parcheado.

Conclusión: Una actualización no negociable para sistemas multiusuario

La combinación de "Copy Fail" y "Dirty Frag" representa una de las amenazas más serias para la seguridad de los sistemas Linux en lo que va de 2026.

Con exploits públicos disponibles y documentación detallada de los vectores de ataque, los administradores de sistemas que ejecutan kernels afectados deben priorizar esta actualización con carácter urgente.

Si su equipo de cómputo es un servidor multiusuario, un entorno de compilación en la nube, un ejecutor de CI/CD o cualquier sistema donde usuarios no confiables puedan obtener una shell local, la actualización a Linux 6.6.141, 6.12.91 o 6.18.33 (o la versión equivalente de su distribución) es una necesidad inmediata.