Canonical publicó el 12 de marzo de 2026 las correcciones para CrackArmor, el conjunto de fallos en AppArmor que descubrió la Threat Research Unit de Qualys. Lo llamativo de esta tanda es que el arreglo no vive en un solo paquete: Ubuntu repartió las mitigaciones entre el kernel Linux, sudo (y sudo-ldap) y util-linux. Entender por qué hacen falta los tres ayuda a no quedarse a medias.
Qué es CrackArmor
AppArmor es el control de acceso obligatorio que viene activo por defecto en Ubuntu. CrackArmor agrupa nueve vulnerabilidades del tipo “confused deputy”: un usuario local sin privilegios consigue que un proceso con más permisos haga el trabajo sucio por él. El fallo base, CVE-2026-23268, permite a un usuario sin privilegios abrir ficheros de control privilegiados; si una aplicación setuid escribe en ellos, los perfiles de AppArmor pueden manipularse o eliminarse del todo. A partir de ahí se llega a escalada local a root, fuga de memoria del kernel, salto de protecciones y, en máquinas que ejecutan imágenes no confiables, escape de contenedores.
El problema está en el kernel desde la versión 4.11 (2017), así que afecta a cualquier sistema con AppArmor activado, no solo a Ubuntu. Qualys cifró en más de 12 millones los sistemas expuestos.
Por qué tres paquetes
Aquí está la parte interesante. Los fallos centrales viven en el kernel, y ahí van la mayoría de los once parches asignados (de CVE-2026-23268 y 23269 a la serie CVE-2026-234xx). Pero la cadena de explotación necesita dos piezas más en espacio de usuario.
La primera es util-linux. La utilidad su se comporta de forma insegura y es la palanca que facilita el ataque. Solo se puede disparar desde usuarios sin privilegios que tengan contraseña establecida, pero ese matiz no consuela mucho en un sistema multiusuario.
La segunda es sudo/sudo-ldap, con la CVE-2026-35535. Qualys encontró un fallo independiente en sudo, en la función de notificaciones por correo, que por sí solo permite escalada local de privilegios cuando se encadena con los fallos de AppArmor y la aplicación privilegiada su. En Ubuntu afecta a Noble (24.04 LTS) y Questing Quokka (25.10).
A quién afecta y cómo actuar
Todas las versiones soportadas de Ubuntu, desde 14.04 LTS hasta 25.10, necesitan la actualización del kernel. Bionic (18.04) y Xenial (16.04) no tienen la cadena completa de escalada de privilegios, pero sí quedan expuestos a denegación de servicio.
Canonical lo dejó claro: hay que aplicar tanto las mitigaciones en espacio de usuario como las actualizaciones de seguridad del kernel. Las correcciones de userspace salieron de golpe para todas las versiones soportadas, mientras que los parches del kernel se fueron desplegando de forma progresiva. Si actualizas solo el kernel pero te dejas sudo o util-linux atrás, la cadena de ataque sigue parcialmente abierta.
La receta es la de siempre:
sudo apt update && sudo apt upgradeHace falta reiniciar después de instalar el kernel nuevo. Si tienes activadas las actualizaciones automáticas (unattended-upgrades), los parches deberían entrar solos en las primeras 24 horas, pero conviene verificarlo y no fiarse a ciegas en servidores críticos.
Si gestionas máquinas que corren contenedores con imágenes de terceros, prioriza estas máquinas: el escape de contenedores es uno de los escenarios que abre CrackArmor.