El 12 de marzo de 2026 el equipo de seguridad de Debian publicó DSA-6163-1, una actualización del kernel Linux para la rama oldstable (Debian 12 “Bookworm”). El aviso agrupa 49 vulnerabilidades que, según la descripción oficial, pueden derivar en escalada de privilegios, denegación de servicio o fugas de información. La versión corregida es 6.1.164-1.
Qué corrige este aviso
No estamos ante un único fallo llamativo, sino ante un paquete grande de correcciones acumuladas en distintos subsistemas del kernel. Entre los CVE incluidos están los fallos de AppArmor descubiertos por la Qualys Threat Research Unit y bautizados como CrackArmor, que permiten a un usuario local sin privilegios saltarse protecciones del kernel y, en el peor caso, escalar a root. Junto a ellos viajan correcciones que van desde 2023 (por ejemplo CVE-2023-53424) hasta la propia serie CVE-2026-232xx, además de un buen número de fallos de 2025.
El aviso no detalla cada CVE en su cuerpo: remite al security tracker de Debian y a la publicación de Qualys para la lista completa y los detalles técnicos. Esto es habitual en las actualizaciones de kernel, donde Debian reúne en un solo paquete los parches que se han ido aplicando aguas arriba.
A quién afecta
A cualquier máquina con Debian 12 Bookworm y un kernel de la rama 6.1 sin actualizar. Como Bookworm es ahora oldstable, hablamos sobre todo de servidores y equipos que aún no han migrado a Debian 13 “Trixie”. Si gestionas sistemas Bookworm en producción, este aviso te toca.
Una parte importante de las vulnerabilidades agrupadas es de tipo local: necesitan que el atacante ya tenga acceso al sistema. Eso no las hace menores. En entornos multiusuario, en hosting compartido o donde corren contenedores, una escalada local a root es justo el peldaño que separa una cuenta comprometida de un control total de la máquina. Los fallos de CrackArmor encajan en ese patrón y además pueden romper el aislamiento entre contenedores.
Gravedad
Debian no asigna una puntuación CVSS global al aviso, pero la combinación de escalada de privilegios, denegación de servicio y fuga de información sobre 49 CVE lo coloca como una actualización de alta prioridad. Los fallos de AppArmor por sí solos ya justificarían parchear cuanto antes, porque están presentes en el kernel desde hace años y afectan a millones de sistemas Debian, Ubuntu y SUSE.
Cómo actualizar
Actualiza el kernel a la versión 6.1.164-1 o posterior:
sudo apt update
sudo apt full-upgradeDespués necesitas reiniciar para arrancar con el kernel parcheado, ya que las correcciones afectan al código que se ejecuta en el arranque. Comprueba la versión activa con uname -r antes y después del reinicio. Si tienes contratado livepatch o un mecanismo equivalente, revisa qué CVE cubre y cuáles siguen requiriendo reinicio: muchos de estos fallos no se mitigan en caliente.
Para la lista exacta de CVE de tu instalación, consulta el security tracker de Debian enlazado más abajo.
Fuente
- Aviso oficial: Debian Security Announce — DSA-6163-1
- Ficha del sistema afectado: /debian