El 18 de febrer de 2026 l’equip de seguretat de Debian va treure l’avís DSA-6141-1, una actualització del kernel Linux que resol un bon grapat de vulnerabilitats. És un dels avisos de kernel més carregats del mes: en un sol lliurament aplega correccions per a desenes d’identificadors CVE repartits per diferents subsistemes del nucli.
Què corregeix l’avís
DSA-6141-1 aplega correccions per a diverses vulnerabilitats que s’havien anat acumulant al kernel. Entre els identificadors citats hi ha CVE-2025-40082 i CVE-2025-68823, més rangs amplis de CVE de 2025 (la sèrie CVE-2025-71203 a CVE-2025-71237) i de 2026 (la sèrie CVE-2026-23111 a CVE-2026-23230). En aquesta darrera franja hi entren, per exemple, errors de tipus use-after-free en subsistemes de xarxa i de fitxers que ja s’havien reportat per separat al llarg del mes.
El mateix avís de Debian apunta que els problemes detectats podien tenir tres tipus d’impacte:
- Escalada de privilegis: un usuari local podria fer-se amb permisos per sobre dels que li toquen, en el pitjor cas fins a privilegis de root.
- Denegació de servei (DoS): un error provocat expressament podria penjar el kernel o causar un panic, deixant la màquina inservible.
- Fuita d’informació: certs errors deixaven llegir regions de memòria a les quals l’atacant no hauria d’arribar.
A qui afecta
L’avís s’aplica a la branca estable de Debian, amb nom en clau trixie. Qualsevol sistema que executi el kernel Linux empaquetat per Debian en aquesta branca —servidors, escriptoris, màquines virtuals o contenidors que comparteixin el nucli de l’amfitrió— està potencialment exposat fins que s’apliqui l’actualització.
Com passa amb la majoria dels errors de kernel, moltes d’aquestes vulnerabilitats necessiten que l’atacant ja tingui accés local al sistema o que pugui executar codi sense privilegis. Això no les fa inofensives. En entorns multiusuari, en allotjament compartit o després d’un compromís inicial per una altra via, un error d’escalada de privilegis és just la peça que converteix un accés limitat en control total de la màquina.
Gravetat
Debian classifica el conjunt com de gravetat alta. Cap dels CVE individuals es descriu com a explotació remota sense autenticació, però la barreja d’escalada de privilegis i possibles penjades del kernel ja n’hi ha prou per aplicar el pedaç com més aviat millor, sobretot en sistemes amb usuaris no fiables.
Mitigació i pedaç
La solució és directa: actualitzar el paquet del kernel a la versió corregida. Per a la distribució estable (trixie), l’error queda resolt a la versió 6.12.73-1.
En un sistema Debian n’hi ha prou amb executar:
sudo apt update
sudo apt upgradeDesprés d’instal·lar el nou kernel cal reiniciar la màquina perquè el nucli corregit entri en funcionament; les actualitzacions del kernel no tenen efecte fins a la següent arrencada. Si fas servir alguna solució de live patching, comprova que el teu proveïdor cobreixi aquests CVE concrets.
Com a bona pràctica complementària, convé mantenir actius els frameworks de control d’accés obligatori del sistema, que retallen l’abast d’un eventual compromís. Si vols aprofundir, fes una ullada al nostre article sobre SELinux i AppArmor.
Pots seguir les versions suportades i el calendari de suport de la distribució a la fitxa de Debian.
Font
- Avís oficial: Debian Security Advisory DSA-6141-1 (linux)
- Detall d’un dels CVE de referència: CVE-2025-40082 a NVD