El 9 de febrero de 2026 el equipo de seguridad de Debian publicó el aviso DSA-6126-1, una actualización del kernel Linux que recoge más de 170 vulnerabilidades (CVE) acumuladas en distintos subsistemas. No hablamos de un fallo aislado, sino de una tanda de parches que Debian arrastra desde las ramas estables del kernel y empaqueta para sus usuarios. Es lo habitual en las distribuciones que mantienen kernels de soporte prolongado.
Qué corrige el aviso
El boletín reúne un conjunto enorme de identificadores CVE. Entre ellos están CVE-2024-58096 y CVE-2024-58097, además de muchos de 2025 (por ejemplo CVE-2025-22111 y CVE-2025-38234) y de 2026, hasta CVE-2026-23110. Según la descripción del propio Debian, los fallos caen en tres grandes categorías de impacto:
- Escalada de privilegios (privilege escalation): un atacante local podría elevar sus permisos en el sistema.
- Denegación de servicio (denial of service): un fallo podría provocar el bloqueo o caída del kernel.
- Fuga de información (information leaks): exposición de datos de memoria del kernel a procesos sin privilegios.
Que se junten tantos CVE en una sola actualización dice mucho del ritmo de correcciones que recibe el kernel Linux, sobre todo en controladores de dispositivos, la pila de red, los sistemas de ficheros y los subsistemas de virtualización.
A quién afecta
El aviso apunta a la distribución estable de Debian, nombre en clave Trixie, que monta la serie de kernel 6.12. Cualquier sistema Debian estable que no haya aplicado las últimas actualizaciones de seguridad está expuesto a alguno de los fallos cubiertos. Con tantos subsistemas implicados, esto pega tanto en equipos de escritorio como en servidores y entornos virtualizados.
Gravedad
El aviso no pone una única puntuación CVSS global, pero las vulnerabilidades de escalada de privilegios ya lo convierten en una actualización importante. Buena parte de los CVE de kernel publicados en este periodo —como los de la familia nf_tables y otros use-after-free— han resultado explotables para conseguir root en condiciones concretas. Por prudencia, un parche de kernel de este tamaño merece prioridad alta.
Mitigación y parche
La recomendación de Debian no deja lugar a dudas: actualizar los paquetes del kernel. La corrección llega en la versión 6.12.69-1 para Trixie. El procedimiento de siempre:
sudo apt update
sudo apt full-upgradeUna vez instalado el nuevo kernel hay que reiniciar el sistema para que el kernel parcheado entre en juego, porque sin herramientas de live patching las correcciones no se aplican en caliente. En servidores críticos conviene programar ese reinicio para que el corte moleste lo menos posible.
Si llevas infraestructura Debian, este aviso recuerda lo de siempre: deja unattended-upgrades activo y date una vuelta de vez en cuando por el rastreador de seguridad de Debian, porque las tandas grandes de kernel salen con frecuencia a lo largo del año. Y para dejar menos margen a las escaladas locales, refuerza las políticas con SELinux y AppArmor.
Fuente
- Debian Security Advisory DSA-6126-1 (linux): https://lists.debian.org/debian-security-announce/2026/msg00035.html
- NVD — CVE-2024-58096: https://nvd.nist.gov/vuln/detail/CVE-2024-58096