Canonical acaba de cerrar uno de los huecos más llamativos de su oferta de seguridad: Livepatch, el servicio que aplica parches al kernel sin reiniciar la máquina, ya soporta oficialmente la arquitectura Arm64. Hasta ahora esto solo funcionaba en AMD64, así que cualquiera que tuviera servidores o dispositivos basados en Arm tenía que programar ventanas de mantenimiento y reinicios cada vez que aparecía un fallo serio en el kernel. Eso se acaba.
Qué se anuncia y dónde funciona
El soporte de Arm64 llega con Ubuntu 26.04 LTS y Ubuntu Core 26. En el lado AMD64 la cobertura sigue como hasta ahora, desde Ubuntu Core 20 en adelante. La idea de fondo es sencilla: cuando se descubre una vulnerabilidad crítica en el kernel, Livepatch aplica la corrección en caliente y la máquina sigue corriendo sin cortar el servicio ni perder el estado en memoria.
Para una arquitectura como Arm64, presente en flotas de dispositivos edge, servidores en la nube y hardware que no siempre se actualiza a diario, poder tapar un agujero del kernel sin tocar la disponibilidad cambia bastante las cuentas operativas.
Por qué ha costado tanto llegar aquí
Aplicar un parche al kernel en ejecución no es trivial. El sistema tiene que detener los hilos en un punto seguro, comprobar que ninguno está ejecutando código que vaya a cambiar y solo entonces conmutar a la versión parcheada. Para eso hace falta poder leer la pila de llamadas de forma fiable, algo que en Arm64 dependía de tener resuelto el CONFIG_HAVE_RELIABLE_STACKTRACE y el modelo de consistencia del kernel para esa arquitectura.
Canonical sitúa el análisis inicial a finales de 2023, con el trabajo upstream coordinado entre 2024 y 2026 junto a otros publicadores de sistemas operativos, hyperscalers y fabricantes de silicio. El cliente de Livepatch para Arm64 sobre Ubuntu 26.04 LTS empezó a funcionar en entornos de prueba a finales de febrero de 2026. Por debajo también hizo falta una cadena de herramientas madura (GCC, objdump, Kpatch) capaz de generar estos parches en Arm64.
Cómo lo han montado por dentro
Un detalle que conviene saber: nada de emulación. Canonical amplió sus build farms con instancias Arm64 dedicadas para compilar de forma nativa, y creó suites de regresión específicas para esta arquitectura. Cada parche en caliente implica compilar dos copias del kernel para hacer pruebas acumulativas, de modo que un parche de Arm64 pase por el mismo nivel de verificación que ya se aplica a los de AMD64. El objetivo es que la estabilidad sea la misma en ambos lados, no un soporte de segunda.
Qué te aporta a ti
Si gestionas equipos que no se parchean cada día o cada semana —y en el mundo Arm eso es muy común—, esta es la diferencia entre aplicar una corrección crítica en cuanto sale o esperar a la próxima ventana de mantenimiento con la vulnerabilidad expuesta mientras tanto. Canonical también lo enmarca dentro del cumplimiento del Cyber Resilience Act (CRA): mantener los sistemas al día en seguridad deja de chocar con la necesidad de no parar el servicio.
Livepatch forma parte de Ubuntu Pro, que es gratuito para uso personal hasta cierto número de máquinas. Si quieres repasar qué más cubre la suscripción y el ciclo de vida de las versiones, tienes la información en la ficha de Ubuntu.
Fuente
Anuncio original de Canonical: Canonical announces live kernel patching for Arm64 (ubuntu.com/blog).