Debian publicó el 12 de marzo de 2026 el aviso de seguridad DSA-6162-1 para el kernel Linux de la rama estable trixie (Debian 13). El parche corrige el conjunto de fallos que Qualys bautizó como CrackArmor, varias vulnerabilidades en el módulo AppArmor del kernel que un usuario local sin privilegios puede encadenar para escalar hasta root.
Qué se corrige
El aviso agrupa los CVE de la serie CrackArmor descubierta por la Threat Research Unit de Qualys, encabezados aquí por CVE-2026-23233, junto a CVE-2025-71238. AppArmor es el módulo de seguridad (LSM) que confina procesos mediante perfiles. Los fallos descritos son del tipo confused deputy: el código del kernel actúa en nombre del usuario con más permisos de los que debería, lo que rompe las garantías de confinamiento.
La consecuencia práctica abarca tres escenarios. Un atacante local puede saltarse las restricciones que impone AppArmor, leer memoria del kernel que no le corresponde y, en el peor caso, conseguir privilegios de root. En sistemas que usan contenedores con AppArmor como capa de aislamiento, eso significa que un proceso confinado puede salir de su perfil y tocar el host.
A quién afecta
Cualquier instalación de Debian 13 trixie que ejecute un kernel anterior a la versión corregida. AppArmor viene activado por defecto en Debian, así que la superficie es amplia: servidores, escritorios y nodos que levanten contenedores con perfiles AppArmor. El problema no es exclusivo de Debian, ya que los fallos viven en el kernel Linux desde la rama 4.11 (2017) y afectan también a Ubuntu, SUSE y derivadas. Debian se limita aquí a distribuir el parche para su rama estable.
Gravedad
Debian clasifica el aviso con impacto alto. Según el subsistema afectado, los fallos pueden derivar en escalada de privilegios, denegación de servicio o fuga de información. La escalada a root es lo más serio: si la cadena se completa, el atacante deja de estar confinado y controla la máquina. No hace falta acceso remoto, basta con una cuenta local, lo que sube el riesgo en entornos multiusuario, hosting compartido y plataformas de contenedores.
Mitigación
La corrección llega en la versión 6.12.74-2 del paquete del kernel. La acción es directa: actualizar e iniciar con el kernel nuevo.
sudo apt update
sudo apt full-upgrade
sudo rebootEl reinicio es obligatorio porque el parche está en el propio kernel y no surte efecto hasta arrancar con la imagen actualizada. Comprueba después la versión con uname -r y contrástala con la que indica el aviso. Si gestionas contenedores con perfiles AppArmor, revisa que el host esté parcheado antes de confiar de nuevo en ese aislamiento. No hay una mitigación temporal cómoda salvo desactivar AppArmor, lo que rebajaría tu seguridad general, así que lo razonable es aplicar el kernel corregido cuanto antes.
Para una guía general de la distribución, consulta nuestra ficha de Debian.