← Volver a artículos
Noticias· 3 min de lectura

Dirty Frag: dos fallos del kernel Linux permiten escalar a root y cómo cerrarlos en Ubuntu

El 7 de mayo de 2026 se hicieron públicas dos vulnerabilidades de escalada local de privilegios en el kernel Linux que Canonical agrupa bajo el nombre Dirty Frag. Las dos permiten que un usuario sin privilegios consiga root en la máquina, así que no son cosa menor. Si administras servidores o equipos con Ubuntu, conviene revisarlas hoy mismo.

La primera es CVE-2026-43284, con una puntuación CVSS 3.1 de 8.8 (alta). Afecta a los módulos ESP (Encapsulating Security Protocol), los que se usan en montajes de IPsec como StrongSwan. La segunda es CVE-2026-43500, con CVSS 7.8 (alta), y golpea a los módulos RxRPC, el protocolo que da soporte al Andrew File System (AFS) para operaciones de archivos distribuidos.

Las dos comparten el mismo patrón de explotación local: alguien que ya tiene una cuenta en el sistema, aunque sea sin privilegios, puede aprovechar el fallo en estos módulos para terminar ejecutando código como root. No hace falta acceso físico ni cadenas de exploits remotos complicadas.

A quién afecta

Canonical ha publicado parches para todo el abanico de versiones soportadas:

  • Bionic Beaver (18.04 LTS) — kernels Linux 4.15 y 5.4 HWE
  • Focal Fossa (20.04 LTS) — kernels 5.4 y 5.15 HWE
  • Jammy Jellyfish (22.04 LTS) — kernels 5.15 y 6.8 HWE
  • Noble Numbat (24.04 LTS) — kernels 6.8 y 6.17 HWE
  • Questing Quokka (25.10) y Resolute Raccoon (26.04 LTS)

Trusty Tahr y Xenial Xerus quedan marcadas como no afectadas. Si vienes de una de esas, igualmente toca pensar en actualizar por muchos otros motivos.

Qué hacer

La vía directa es aplicar las actualizaciones de seguridad del kernel:

sudo apt update && sudo apt upgrade

Como se trata del kernel, después hace falta reiniciar para que el parche entre en vigor:

sudo reboot

Si por lo que sea no puedes parchear de inmediato (un servidor que no puedes reiniciar ahora, por ejemplo), Canonical propone bloquear manualmente los módulos vulnerables mientras tanto. Se hace creando un archivo en /etc/modprobe.d/:

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf

Luego regeneras el initramfs para todos los kernels instalados:

sudo update-initramfs -u -k all

Y descargas los módulos que ya estuvieran activos en memoria:

sudo rmmod esp4 esp6 rxrpc 2>/dev/null

Para comprobar si quedan cargados:

grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "Affected modules are loaded" || echo "Affected modules are NOT loaded"

Ten en cuenta que bloquear esp4 y esp6 rompe IPsec, y rxrpc deja sin servicio a AFS. Es una medida temporal: si dependes de esos servicios, la solución de verdad es parchear y reiniciar.

Quien quiera repasar el resto de mitigaciones de kernel de esta tanda puede mirar también Fragnesia (CVE-2026-46300), que comparte parte del problema en los módulos ESP. Toda la información sobre la distro está en la ficha de Ubuntu.

Fuente

Dirty Frag Linux kernel local privilege escalation vulnerability mitigations, publicado en el blog de Canonical.

Sistemas relacionados

Ubuntu