Canonical va publicar el 7 de maig de 2026 l’avís USN-8245-1, una actualització del kernel d’Ubuntu que arregla més d’un centenar de vulnerabilitats de cop. La que es va endur els titulars és EntrySign, registrada com a CVE-2024-36347, una fallada en la verificació del microcodi d’algunes CPU AMD que va descobrir l’equip de seguretat de Google.
Què és EntrySign
El microcodi és el firmware intern que la CPU carrega per corregir errors de maquinari o ajustar el seu comportament. En processadors AMD basats en l’arquitectura Zen, la rutina que comprovava la signatura d’aquest microcodi feia servir AES-CMAC com a funció de verificació. AES-CMAC serveix per autenticar missatges, però no és una funció hash criptogràfica adequada per validar signatures. Amb aquest error de disseny, un atacant que ja tingui privilegis elevats al sistema pot preparar microcodi maliciós i fer que la CPU l’accepti com a legítim.
Un cop carregat, aquest microcodi s’executa per sota del sistema operatiu, així que trenca tant la integritat com la confidencialitat de la màquina. No és una fallada que permeti entrar des de fora: cal tenir-hi ja accés administratiu. El perill és el que ve després, perquè des d’aquí es pot comprometre l’arrencada segura, els entorns confidencials tipus SEV-SNP o qualsevol garantia que depengui de la cadena de confiança de la CPU.
A qui afecta
EntrySign és un problema dels processadors AMD Zen, no exclusiu d’Ubuntu ni de Linux. El pegat del kernel que lliura Canonical aplica la mitigació per programari disponible. Els paquets actualitzats a USN-8245-1 són les variants linux-azure i linux-oem-6.17 (kernel 6.17), per a Ubuntu 25.10 i Ubuntu 24.04 LTS:
linux-azureilinux-azure-6.17: 6.17.0-1013.13linux-oem-6.17: 6.17.0-1020.20
A banda d’EntrySign, el mateix avís aplega més de 130 CVE de diferents subsistemes del kernel acumulats en aquest cicle, així que l’actualització és de pes encara que el teu maquinari no sigui AMD.
Mitigació i pegat
Actualitza el kernel com més aviat millor:
sudo apt update && sudo apt full-upgrade
sudo rebootEl reinici no és opcional. El nou kernel no entra en ús fins que reinicies, i aquest avís inclou canvis d’ABI, cosa que obliga a recompilar els mòduls de kernel de tercers (controladors propietaris, DKMS) després d’actualitzar.
Val la pena ser clar amb un punt: el pegat del sistema operatiu aplica la mitigació que es pot fer des de programari, però la correcció completa d’EntrySign requereix una actualització de BIOS/firmware del fabricant de la teva placa o servidor. Si gestiones màquines AMD, revisa també les actualitzacions de microcodi i BIOS del teu proveïdor.
Si treballes amb kernels d’Ubuntu, t’interessa repassar altres avisos AMD recents com ara USN-8028-1, que cobria fallades d’AMD SEV-SNP. I per reduir les finestres de reinici en flotes grans, val la pena conèixer el suport de Livepatch a Arm64, que aplica pegats crítics del kernel sense reiniciar. La fitxa completa d’Ubuntu recull les versions suportades.
Font
- Ubuntu Security Notice USN-8245-1: https://ubuntu.com/security/notices/USN-8245-1
- Detall de CVE-2024-36347 a NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-36347