El 4 de març de 2026 l’equip de seguretat de Canonical va publicar una tongada d’actualitzacions del kernel Linux que toca pràcticament tot el catàleg suportat d’Ubuntu. Hi entren la versió interina 25.10 i les quatre branques LTS que encara reben suport: 24.04, 22.04, 20.04 i 18.04 (aquesta darrera a través d’Expanded Security Maintenance). No és una correcció puntual d’un únic forat, sinó un paquet que tanca diverses errades repartides per subsistemes diferents del kernel.
Què es corregeix
El CVE de capçalera és CVE-2025-40214, una errada al subsistema de sòcols de domini Unix (af_unix). El recol·lector d’escombraries d’AF_UNIX podia alliberar la cua de recepció d’un sòcol que encara era viu i en trànsit. El pedaç a mainline (af_unix: Initialise scc_index in unix_add_edge()) inicialitza correctament scc_index en afegir arestes al graf que recorre el recol·lector, de manera que deixa de tractar com a recol·lectable una cosa que encara s’està fent servir.
Al costat d’aquesta errada, la mateixa USN agrupa altres pedaços del kernel, entre ells CVE-2025-22036 i CVE-2025-21726, que afecten altres subsistemes. És el patró habitual dels avisos de kernel d’Ubuntu: Canonical reuneix les correccions ja aplicades aigües amunt en una sola publicació per branca, així actualitzes un cop i t’emportes tot el lot.
A qui afecta
A qualsevol instal·lació d’Ubuntu amb un kernel anterior a aquestes versions. Les errades del kernel poques vegades s’exploten de manera remota pel seu compte; el camí habitual és que un usuari local ja present al sistema les aprofiti per provocar una caiguda o, en el pitjor dels casos, escalar privilegis. En servidors multiusuari, contenidors i màquines compartides el marge d’exposició és més gran, perquè és allà on hi ha actors locals que podrien tocar les rutes afectades.
Gravetat
Canonical marca l’actualització com a prioritat alta. CVE-2025-40214 és un use-after-free en una zona delicada del kernel, i aquesta mena d’errada pot degenerar en corrupció de memòria. No hi ha constància d’explotació activa en el moment de l’avís, però no convé deixar-ho córrer.
Com aplicar el pedaç
Actualitza pels canals normals:
sudo apt update && sudo apt upgrade
sudo rebootEl reinici cal per arrencar amb el kernel nou, llevat que facis servir Livepatch. Canonical va incloure suport de livepatch per a diverses de les branques LTS afectades, així que en aquestes versions pots aplicar la mitigació sense reiniciar immediatament; tot i així, val la pena programar un reinici per quedar-te sobre el kernel pedaçat de manera permanent. Comprova quin kernel corres amb uname -r abans i després.
Si administres un parc de màquines, revisa també que no tinguis versions de kernel ancorades (apt-mark hold) que estiguin bloquejant l’actualització.
Per a més detall sobre les versions LTS i les seves finestres de suport tens la fitxa d’Ubuntu.
Font
- Ubuntu Security Notices: https://ubuntu.com/security/notices?order=newest&release=focal&details=kernel
- CVE-2025-40214: https://nvd.nist.gov/vuln/detail/CVE-2025-40214