Linus Torvalds publicó el kernel Linux 7.1 estable el 14 de junio de 2026, medio día antes de lo previsto por un viaje. El ciclo cerró con casi 13.000 cambios y más de 2.000 desarrolladores. La mayoría de la cobertura se ha centrado en el nuevo driver NTFS y en el rendimiento gráfico, pero hay tres frentes que tocan directamente a quien administra sistemas: el endurecimiento de Landlock, la activación de Intel FRED y un par de cambios de red que pueden dejarte sin arrancar si compilas tu propio kernel.
Landlock llega a los sockets UNIX
Landlock es el módulo de seguridad que permite a un proceso sin privilegios encerrarse a sí mismo en una sandbox: declara qué rutas y qué operaciones puede tocar y el kernel bloquea el resto. Hasta ahora cubría ficheros y un puñado de operaciones de red, pero no los sockets UNIX de dominio con nombre (los que viven en el sistema de ficheros, tipo /run/algo.sock).
En 7.1 se añade un permiso nuevo, expuesto mediante un hook LSM, para controlar el acceso a esos sockets por ruta. Para un proceso aislado eso significa que ahora puedes decirle exactamente a cuáles puede conectarse. Es un cambio relevante si corres contenedores o servicios sandboxizados que hablan con daemons locales (systemd, bases de datos, agentes) a través de sockets UNIX: cierra una vía que antes quedaba fuera del alcance de la política. No es un parche de un fallo concreto, es una capacidad nueva que tu sandbox puede aprovechar.
Intel FRED activado por defecto
7.1 enciende por defecto Intel FRED (Flexible Return and Event Delivery) en el hardware que lo soporta. FRED reemplaza el viejo mecanismo de entrega de interrupciones y excepciones de x86 por uno más ordenado. El beneficio inmediato es de rendimiento en los Panther Lake de Intel, y la base sirve también para los futuros Diamond Rapids y para Zen 6 de AMD. La transición de los caminos de interrupción y syscall a un modelo nuevo importa desde el punto de vista de seguridad: simplifica una zona del kernel que históricamente ha sido terreno de errores de gestión de estado. Si tienes equipos con esos chips, conviene saber que el comportamiento por defecto ha cambiado.
Dos cambios de red que pueden romper la actualización
Aquí está el aviso práctico. 7.1 retira UDP-Lite por completo y cambia cómo se construye IPv6.
A partir de esta versión IPv6 ya no se puede compilar como módulo: tiene que ir integrado directamente en el kernel (y) o quedar deshabilitado (n). Si mantienes kernels a medida y tenías CONFIG_IPV6=m, corrígelo antes de recompilar o te llevarás una sorpresa. Lo mismo con cualquier configuración que dependiera de UDP-Lite: ese protocolo desaparece. Para quien usa el kernel de su distribución esto pasa inadvertido, porque el empaquetador ya lo resuelve; el riesgo es para quien hornea su propio kernel.
El ciclo también eliminó más de 140.000 líneas de código legado, incluido el soporte de algunas subarquitecturas x86 de la era 486 y restos de red y PCMCIA antiguos. Menos código viejo significa menos superficie que mantener y auditar.
Si quieres el repaso completo de novedades más allá de la parte de seguridad, lo tienes en el lanzamiento oficial de Linux 7.1. Y puedes seguir las versiones del kernel en su ficha en LinuxGratis.
Fuente
- Phoronix — Linux 7.1 Released