← Volver a artículos
Seguridad· 3 min de lectura

USN-8059-1: Ubuntu corrige fallos de seguridad en el kernel Linux (SMB/ksmbd)

El 24 de febrero de 2026 Canonical publicó el aviso de seguridad USN-8059-1, otra tanda de correcciones para el kernel Linux que distribuye Ubuntu. Llega dentro de una serie de avisos de kernel que la compañía fue soltando a lo largo de febrero (USN-8028-1, USN-8033-1, USN-8052-1 y USN-8059-1), que da una idea del mantenimiento de seguridad continuo que pide el núcleo del sistema.

Qué corrige el aviso

Canonical lo describe así en su texto oficial: “se descubrieron varios problemas de seguridad en el kernel Linux. Un atacante podría usar estos problemas para comprometer el sistema.” La redacción es a propósito genérica, pero los identificadores que acompañan a la corrección apuntan al subsistema de red SMB, y más en concreto al servidor SMB integrado en el kernel, ksmbd.

Estas son las vulnerabilidades referenciadas:

  • CVE-2025-37899: un fallo de tipo use-after-free en ksmbd que salta durante el cierre de sesión (session logoff). El objeto sess->user puede seguir en uso por otro hilo —por ejemplo, cuando otra conexión manda una petición de session setup para engancharse a la sesión que se está liberando—, y queda un puntero apuntando a memoria ya liberada. Errores así pueden acabar en corrupción de memoria del kernel.
  • CVE-2025-22037: otro problema dentro del mismo terreno del sistema de ficheros de red SMB.

Los fallos use-after-free en el espacio del kernel son especialmente delicados. Según cómo se reaproveche esa memoria liberada, pueden quedarse en una denegación de servicio (una caída del sistema) o, en los casos más serios, abrir la puerta a escalada de privilegios o ejecución de código en el contexto del núcleo.

A quién afecta

USN-8059-1 cubre estas ramas:

  • Ubuntu 24.04 LTS (Noble): linux, linux-gkeop, linux-lowlatency, linux-oracle y linux-raspi.
  • Ubuntu 22.04 LTS (Jammy): linux-hwe-6.8 y linux-lowlatency-hwe-6.8.

El riesgo real cambia mucho según lo expuesto que esté cada equipo. Los más en la diana son los que hacen de servidor SMB con ksmbd y aceptan conexiones de red, sobre todo si quedan accesibles desde redes que no controlas. En un escritorio sin ksmbd activo el vector pierde casi todo el peso, aunque la recomendación de actualizar vale igual para todos.

Gravedad

Canonical no da una puntuación CVSS unificada en el propio aviso y resume el impacto de forma genérica como “compromiso del sistema”. Por lo que son estos fallos (use-after-free en un servicio de red del kernel) caen en un rango de importancia alta, que es como Canonical etiqueta este tipo de actualizaciones de kernel.

Mitigación y parche

Lo único que recomienda Canonical es instalar las versiones corregidas del kernel que ya tiene en sus repositorios. Para actualizar:

sudo apt update
sudo apt full-upgrade
sudo reboot

Hay dos detalles del aviso que conviene no pasar por alto:

  1. Tienes que reiniciar el equipo después de actualizar para que cargue el nuevo kernel.
  2. El aviso trae un cambio de ABI: si usas módulos de kernel de terceros (drivers propietarios, por ejemplo), tendrás que recompilarlos y reinstalarlos una vez actualices.

Y como medida extra para reducir superficie de ataque, en servidores que no comparten ficheros por SMB lo suyo es dejar ksmbd deshabilitado y limitar el acceso de red al servicio con un cortafuegos.

Fuente

Sistemas relacionados

Ubuntu