El 19 de maig de 2026 es va fer públic PinTheft, una vulnerabilitat del kernel Linux que Canonical ja té documentada i pegada. Porta l’identificador CVE-2026-43494 i, encara que sona seriós, val la pena mirar els detalls abans d’entrar en pànic: en la majoria d’instal·lacions d’Ubuntu la configuració per defecte et deixa fora de perill.
Què fa exactament
L’error és un fallada de recompte de referències que permet enverinar la memòria cau de pàgines amb contingut maliciós. A la pràctica, un atacant local pot reemplaçar el contingut en memòria de fitxers arbitraris. El matís important: només afecta el que està carregat en memòria, no toca el contingut real al disc. Canonical el compara amb dos vells coneguts, Copy Fail (CVE-2026-31431) i el famós Dirty COW (CVE-2016-5195), que seguien un patró semblant de manipular la memòria cau per escalar privilegis.
La correcció al kernel principal va arribar amb el commit e174929793195e0cd6a4adb0cad731b39f9019b4.
Severitat i per què la prioritat és Mitjana
Aquí hi ha un detall que mereix explicació. PinTheft té un CVSS 3.1 de 7.8, cosa que tècnicament el situa a la franja alta. Tot i així, Ubuntu li assigna prioritat Mitjana. No és cap contradicció ni una rebaixa gratuïta: el risc d’escalada local de privilegis es compensa amb la configuració segura que Ubuntu porta de sèrie.
La clau és el protocol RDS (Reliable Datagram Sockets). El forat només es pot explotar en sistemes que fan servir aquest protocol, una cosa poc habitual. I Ubuntu, per defecte, desactiva la seva càrrega automàtica mitjançant el fitxer /etc/modprobe.d/blacklist-rare-network.conf. Si mai no has tocat això, el mòdul RDS no es carrega sol, i sense ell la vulnerabilitat no té per on entrar.
A qui afecta
El repartiment de versions és el següent:
- Ubuntu 16.04 LTS i anteriors: no afectades.
- Ubuntu 18.04 LTS: afectada només al kernel HWE (5.4).
- Ubuntu 20.04 LTS i posteriors: afectades als kernels estàndard.
És a dir, si fas servir una versió moderna amb kernel estàndard, el codi vulnerable hi és present, encara que el blindatge per defecte del RDS et continuï protegint mentre no activis aquest protocol.
Què cal fer
La recomanació de Canonical no té misteri: actualitzar el kernel i reiniciar. Primer comprova quin kernel tens:
uname -rDesprés aplica les actualitzacions de seguretat i reinicia perquè el kernel nou entri en marxa:
sudo apt update && sudo apt upgrade
sudo rebootEl reinici és necessari: pegar el kernel sense arrencar el nou no serveix de res llevat que facis servir Livepatch. Si gestiones servidors on reiniciar surt car, aquest és justament el tipus de cas on el pegat en viu del kernel cobra sentit, tot i que per a PinTheft en una màquina d’escriptori normal amb la config per defecte pots anar amb calma.
El consell de fons és el de sempre: mantingues el kernel al dia i no desactivis a la lleugera les proteccions que Ubuntu porta posades, perquè de vegades són just el que et separa d’un CVE de 7.8.
Font
Informació basada en l’anàlisi publicada per Canonical al blog oficial d’Ubuntu: PinTheft Linux kernel vulnerability mitigation (Canonical, autor seth-arnold).