El 12 de març de 2026 Canonical va publicar les correccions de CrackArmor, el conjunt de fallades d’AppArmor que va descobrir la Threat Research Unit de Qualys. El que crida l’atenció d’aquesta tanda és que l’arranjament no viu en un sol paquet: Ubuntu va repartir les mitigacions entre el kernel Linux, sudo (i sudo-ldap) i util-linux. Entendre per què calen els tres ajuda a no quedar-se a mitges.
Què és CrackArmor
AppArmor és el control d’accés obligatori que ve actiu per defecte a Ubuntu. CrackArmor agrupa nou vulnerabilitats del tipus “confused deputy”: un usuari local sense privilegis aconsegueix que un procés amb més permisos faci la feina bruta per ell. La fallada base, CVE-2026-23268, permet a un usuari sense privilegis obrir fitxers de control privilegiats; si una aplicació setuid hi escriu, els perfils d’AppArmor es poden manipular o eliminar del tot. A partir d’aquí s’arriba a escalada local a root, fuga de memòria del kernel, salt de proteccions i, en màquines que executen imatges no fiables, escapada de contenidors.
El problema és al kernel des de la versió 4.11 (2017), de manera que afecta qualsevol sistema amb AppArmor actiu, no només Ubuntu. Qualys va xifrar en més de 12 milions els sistemes exposats.
Per què tres paquets
Aquí hi ha la part interessant. Les fallades centrals viuen al kernel, i és cap allà que va la majoria dels onze pedaços assignats (de CVE-2026-23268 i 23269 fins a la sèrie CVE-2026-234xx). Però la cadena d’explotació necessita dues peces més en espai d’usuari.
La primera és util-linux. La utilitat su es comporta de manera insegura i és la palanca que facilita l’atac. Només es pot disparar des d’usuaris sense privilegis que tinguin contrasenya establerta, però aquest matís no consola gaire en un sistema multiusuari.
La segona és sudo/sudo-ldap, amb la CVE-2026-35535. Qualys va trobar una fallada independent a sudo, a la funció de notificacions per correu, que tota sola permet escalada local de privilegis quan s’encadena amb les fallades d’AppArmor i l’aplicació privilegiada su. A Ubuntu afecta Noble (24.04 LTS) i Questing Quokka (25.10).
A qui afecta i com actuar
Totes les versions amb suport d’Ubuntu, des de 14.04 LTS fins a 25.10, necessiten l’actualització del kernel. Bionic (18.04) i Xenial (16.04) no tenen la cadena completa d’escalada de privilegis, però sí que queden exposades a denegació de servei.
Canonical ho va deixar clar: cal aplicar tant les mitigacions en espai d’usuari com les actualitzacions de seguretat del kernel. Les correccions de userspace van sortir de cop per a totes les versions amb suport, mentre que els pedaços del kernel es van anar desplegant de manera progressiva. Si actualitzes només el kernel però deixes sudo o util-linux enrere, la cadena d’atac queda parcialment oberta.
La recepta és la de sempre:
sudo apt update && sudo apt upgradeCal reiniciar després d’instal·lar el kernel nou. Si tens activades les actualitzacions automàtiques (unattended-upgrades), els pedaços haurien d’entrar sols dins de les primeres 24 hores, però val la pena verificar-ho i no refiar-se a cegues en servidors crítics.
Si gestiones màquines que executen contenidors amb imatges de tercers, prioritza-les: l’escapada de contenidors és un dels escenaris que obre CrackArmor.