El 4 de marzo de 2026 el equipo de seguridad de Canonical publicó una tanda de actualizaciones del kernel Linux que toca prácticamente todo el catálogo soportado de Ubuntu. Entran la versión interina 25.10 y las cuatro ramas LTS que siguen recibiendo soporte: 24.04, 22.04, 20.04 y 18.04 (esta última a través de Expanded Security Maintenance). No es una corrección puntual de un único agujero, sino un paquete que cierra varios fallos repartidos por distintos subsistemas del kernel.
Qué se corrige
El CVE de cabecera es CVE-2025-40214, un fallo en el subsistema de sockets de dominio Unix (af_unix). El recolector de basura de AF_UNIX podía liberar la cola de recepción de un socket que seguía vivo y en tránsito. El parche en mainline (af_unix: Initialise scc_index in unix_add_edge()) inicializa correctamente scc_index al añadir aristas en el grafo que usa el recolector, de modo que deja de tratar como recolectable algo que todavía está en uso.
Junto a ese fallo, la misma USN agrupa otros parches del kernel, entre ellos CVE-2025-22036 y CVE-2025-21726, que afectan a otros subsistemas. Es el patrón habitual de los avisos de kernel de Ubuntu: Canonical reúne las correcciones aplicadas aguas arriba en una sola publicación por rama para que actualices una vez y te lleves todo el lote.
A quién afecta
A cualquier instalación de Ubuntu con un kernel anterior a estas versiones. Los fallos del kernel rara vez se explotan de forma remota sin más; lo habitual es que un usuario local ya presente en el sistema los aproveche para provocar una caída o, en el peor de los casos, escalar privilegios. En servidores multiusuario, contenedores y máquinas compartidas el margen de exposición es mayor, porque ahí sí hay actores locales que podrían tocar las rutas afectadas.
Gravedad
Canonical marca la actualización como prioridad alta. CVE-2025-40214 es un use-after-free en una zona delicada del kernel, y ese tipo de fallo puede degenerar en corrupción de memoria. No hay constancia de explotación activa en el momento del aviso, pero conviene no dejarlo correr.
Cómo aplicar el parche
Actualiza por los canales normales:
sudo apt update && sudo apt upgrade
sudo rebootEl reinicio es necesario para arrancar con el kernel nuevo, salvo que uses Livepatch. Canonical incluyó soporte de livepatch para varias de las ramas LTS afectadas, así que en esas versiones puedes aplicar la mitigación sin reiniciar de inmediato; aun así, conviene programar un reinicio para quedarte sobre el kernel parcheado de forma permanente. Comprueba qué kernel corres con uname -r antes y después.
Si administras un parque de máquinas, revisa también que no tengas versiones de kernel ancladas (apt-mark hold) que estén bloqueando la actualización.
Para más detalle sobre las versiones LTS y sus ventanas de soporte tienes la ficha de Ubuntu.
Fuente
- Ubuntu Security Notices: https://ubuntu.com/security/notices?order=newest&release=focal&details=kernel
- CVE-2025-40214: https://nvd.nist.gov/vuln/detail/CVE-2025-40214