El 9 de febrer de 2026 l’equip de seguretat de Debian va publicar l’avís DSA-6126-1, una actualització del nucli Linux que recull més de 170 vulnerabilitats (CVE) acumulades en diferents subsistemes. No parlem d’una fallada aïllada, sinó d’una tanda de pedaços que Debian arrossega des de les branques estables del nucli i empaqueta per als seus usuaris. És el que fan habitualment les distribucions que mantenen nuclis de suport prolongat.
Què corregeix l’avís
El butlletí aplega un conjunt enorme d’identificadors CVE. Entre ells hi ha CVE-2024-58096 i CVE-2024-58097, a més de molts de 2025 (per exemple CVE-2025-22111 i CVE-2025-38234) i de 2026, fins a CVE-2026-23110. Segons la descripció del mateix Debian, les fallades cauen en tres grans categories d’impacte:
- Escalada de privilegis (privilege escalation): un atacant local podria elevar els seus permisos al sistema.
- Denegació de servei (denial of service): una fallada podria provocar el bloqueig o la caiguda del nucli.
- Fuita d’informació (information leaks): exposició de dades de memòria del nucli a processos sense privilegis.
Que s’ajuntin tants CVE en una sola actualització diu molt del ritme de correccions que rep el nucli Linux, sobretot en controladors de dispositius, la pila de xarxa, els sistemes de fitxers i els subsistemes de virtualització.
A qui afecta
L’avís apunta a la distribució estable de Debian, amb nom en clau Trixie, que munta la sèrie de nucli 6.12. Qualsevol sistema Debian estable que no hagi aplicat les darreres actualitzacions de seguretat està exposat a alguna de les fallades cobertes. Amb tants subsistemes pel mig, això pega tant en equips d’escriptori com en servidors i entorns virtualitzats.
Gravetat
L’avís no posa una única puntuació CVSS global, però les vulnerabilitats d’escalada de privilegis ja el converteixen en una actualització important. Bona part dels CVE de nucli publicats en aquest període —com els de la família nf_tables i altres use-after-free— han resultat explotables per obtenir root en condicions concretes. Per prudència, un pedaç de nucli d’aquesta mida mereix prioritat alta.
Mitigació i pedaç
La recomanació de Debian no deixa lloc a dubtes: actualitzar els paquets del nucli. La correcció arriba a la versió 6.12.69-1 per a Trixie. El procediment de sempre:
sudo apt update
sudo apt full-upgradeUn cop instal·lat el nou nucli cal reiniciar el sistema perquè el nucli pedaçat entri en joc, perquè sense eines de live patching les correccions no s’apliquen en calent. En servidors crítics convé programar aquest reinici perquè el tall molesti com menys millor.
Si portes infraestructura Debian, aquest avís recorda el de sempre: deixa unattended-upgrades actiu i fes una ullada de tant en tant al rastrejador de seguretat de Debian, perquè les tandes grans de nucli surten amb regularitat al llarg de l’any. I per deixar menys marge a les escalades locals, reforça les polítiques amb SELinux i AppArmor.
Font
- Debian Security Advisory DSA-6126-1 (linux): https://lists.debian.org/debian-security-announce/2026/msg00035.html
- NVD — CVE-2024-58096: https://nvd.nist.gov/vuln/detail/CVE-2024-58096