El 8 de maig de 2026 es va publicar a la NVD el CVE-2026-43303, un use-after-free en la gestió de memòria del kernel Linux. L’error no és en cap controlador exòtic ni en un mòdul opcional, sinó al cor del subsistema de pàgines, de manera que el ventall de màquines afectades és ampli: servidors, escriptoris, VM, instàncies WSL2 sobre Windows i pràcticament qualsevol desplegament amb contenidors.
Què falla exactament
El problema és en com el kernel reaprofita pàgines de memòria. Diversos subsistemes alliberen pàgines sense netejar abans el camp page->private. Quan aquestes pàgines es tornen a assignar i es divideixen, les pàgines de cua conserven valors antics a page->private. El subsistema de swap dona per fet que una pàgina acabada d’assignar té aquest camp net, així que interpreta un valor residual com si fos una llista de continuació vàlida. A partir d’aquí recorre una page->lru sense inicialitzar que conté els marcadors LIST_POISON, i el kernel acaba petant.
A la pràctica és una condició de cursa: un objecte s’allibera mentre encara hi ha referències actives, cosa que obre una finestra per corrompre memòria. Segons el cas, això vol dir un crash del sistema o, a mans d’algú que sàpiga col·locar bé les dades, una via per escalar privilegis. L’accés necessari és local; no és un error que s’exploti per la xarxa.
A qui afecta
El codi vulnerable hi és present des de Linux 5.18 fins a les versions estables anteriors al pegat. En concret cobreix les branques mantingudes: 6.1.x fins a 6.1.176, 6.6.x fins a 6.6.143, 6.12.x fins a 6.12.93, 6.18.x fins a 6.18.16 i 6.19.x fins a 6.19.6. Els kernels anteriors a la 5.18 i la sèrie 7.0 endavant no estan afectats.
Val la pena fixar-se en tres escenaris on això fa més mal. WSL2, perquè executa un kernel Linux real dins de Windows i molta gent el deixa sense actualitzar durant mesos. Els contenidors, perquè comparteixen el kernel de l’amfitrió: un error aquí afecta tot el que corre a sobre. I els kernels longterm o builds personalitzats, on el pegat no arriba sol. Android, que també segueix branques del kernel afectades, entra al mateix sac.
Gravetat i mitigació
El CVE té un CVSS 3.1 de 7.8 (vector AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), categoria alta. La bona notícia és que no hi ha vector remot: cal un compte local a la màquina. La dolenta és que la superfície és enorme pel nombre d’instal·lacions que arrosseguen kernels antics.
L’arranjament són sis commits a kernel.org, publicats el 8 de maig i revisats fins al 19 de juny de 2026. El raonable és aplicar el kernel pegat de la teva distribució:
- En sistemes Linux natius, actualitza amb
apt,dnf,yumozyppersegons correspongui i reinicia. - En WSL2, executa
wsl --updatedes de Windows per portar el kernel corregit. - En amfitrions de contenidors, actualitza el kernel de l’amfitrió (no n’hi ha prou amb tocar la imatge del contenidor) i, si fas servir Docker Desktop, actualitza’l també.
Si gestiones kernels longterm o compiles el teu, comprova que la teva branca inclou els commits abans de donar-te per cobert. Cal un reinici perquè el canvi tingui efecte.