Red Hat publico el 13 de abril de 2026 la actualizacion de seguridad RHSA-2026:7674 para la herramienta rhc, el cliente y demonio que conecta tus sistemas con los servicios gestionados de Red Hat (Insights, suscripciones, gestion remota). El motivo es CVE-2026-25679, un fallo de parseo incorrecto de literales de host IPv6 en net/url, la biblioteca estandar de Go sobre la que esta construido rhc. Red Hat lo clasifica con impacto Important.
Que falla exactamente
rhc esta escrito en Go y, como tantas herramientas del lenguaje, usa net/url para descomponer las URLs con las que habla con los servidores de Red Hat. El problema esta en como esa biblioteca interpreta una direccion IPv6 escrita como literal entre corchetes, del estilo https://[2001:db8::1]:443/ruta. Cuando el host literal no encaja con lo que el parser espera, la URL se descompone de forma distinta a como lo haria un cliente correcto. Host, puerto y ruta pueden quedar asignados a campos equivocados.
El riesgo de este tipo de fallo no es un desbordamiento ni una ejecucion de codigo directa. Es de confusion de analizadores: si rhc interpreta una URL de una manera y otro componente de la cadena (un proxy, un validador, una capa que aplique listas de control) la interpreta de otra, un atacante que controle parte de la entrada puede colar peticiones hacia destinos no previstos o evadir comprobaciones basadas en el host. Por eso Red Hat lo trata como Important y no como una correccion menor.
A quien afecta
A los sistemas Red Hat Enterprise Linux 8 que tengan instalado el paquete rhc, incluidas las variantes de ciclo de vida extendido 8.10. La actualizacion cubre las arquitecturas habituales: x86_64, aarch64, ppc64le y s390x. Si gestionas tus maquinas con Red Hat Insights o tienes flotas registradas via rhc, este paquete esta en juego. Red Hat ha emitido ademas avisos paralelos para RHEL 9 y RHEL 10 con la misma raiz.
No estamos ante un zero-day ni hay constancia publica de explotacion activa. Es una correccion de robustez en una pieza que toca directamente la conexion de tus sistemas con la infraestructura de Red Hat, lo que justifica aplicarla sin dejarla en la cola.
Mitigacion y parche
La via correcta es actualizar. En RHEL 8 el paquete corregido es rhc-0.2.5-5.el8_10. Basta con:
sudo dnf update rhcDespues conviene reiniciar el demonio para que la version parcheada quede en uso:
sudo systemctl restart rhcdNo hay una mitigacion alternativa razonable mas alla del parche: el fallo vive dentro del binario, asi que no se desactiva con configuracion. Si administras un parque grande, propaga la actualizacion con tu herramienta habitual (Satellite, Ansible o el propio Insights) y confirma que la version instalada es la corregida en cada nodo.
Fuente
- Aviso oficial: RHSA-2026:7674
- Detalle del CVE: CVE-2026-25679 en NVD