← Volver a artículos
Noticias· 3 min de lectura

ssh-keysign-pwn (CVE-2026-46333): cómo Ubuntu corrige la fuga de /etc/shadow y las claves SSH

Canonical ya tiene listos los parches para CVE-2026-46333, una vulnerabilidad del kernel Linux que Qualys bautizó como ssh-keysign-pwn y que se hizo pública el 15 de mayo de 2026. No deja entrar a nadie desde fuera, pero permite que un usuario local sin privilegios lea ficheros que no debería ver. Y entre esos ficheros están /etc/shadow y las claves privadas de host de OpenSSH.

Qué pasa por debajo

El fallo es una condición de carrera que se dispara justo cuando un proceso privilegiado termina. Un atacante local puede usar la llamada al sistema ptrace() para inspeccionar ese proceso en ese momento concreto y quedarse con el contenido de los ficheros que el binario había abierto. La clave está en que muchos binarios suid y sgid abren ficheros a los que el usuario normal no tiene acceso, y ahí es donde se cuela la fuga.

La prueba de concepto que acompaña al aviso lo demuestra con dos casos bastante claros:

  • Leer /etc/shadow aprovechando /usr/bin/chage, que es sgid.
  • Sacar las claves privadas de host del servidor OpenSSH a través de /usr/lib/openssh/ssh-keysign, que es suid. De ahí el nombre.

Que te lean las claves de host de SSH no es ninguna tontería: con ellas se puede suplantar al servidor en conexiones futuras. Y /etc/shadow guarda los hashes de las contraseñas de todas las cuentas de la máquina.

Cómo lo puntúan

La CVSS 3.1 le da un 5.5, que entra en gravedad media. Ubuntu, sin embargo, la marca con prioridad Alta. Esa diferencia tiene sentido cuando piensas en qué se filtra: una nota media en el cálculo abstracto, pero un impacto real serio en un servidor con usuarios locales o en un sistema multiusuario.

A qué versiones afecta y con qué se corrige

El fallo toca a un buen rango de versiones de Ubuntu. Estas son las versiones de kernel que ya incluyen la corrección:

  • Focal Fossa 20.04 LTS: 5.15.0-181.191~20.04.1
  • Jammy Jellyfish 22.04 LTS: 5.15.0-181.191 o 6.8.0-124.124~22.04.1
  • Noble Numbat 24.04 LTS: 6.8.0-124.124 o 6.17.0-35.35~24.04.1
  • Questing Quokka 25.10: 6.17.0-35.35
  • Resolute Raccoon 26.04 LTS: 7.0.0-22.22

Qué hacer

La solución es la de siempre con un fallo de kernel: instalar las actualizaciones de seguridad y reiniciar para que arranque el kernel corregido.

sudo apt update && sudo apt upgrade
sudo reboot

Si no puedes reiniciar de inmediato, hay una medida temporal: restringir el uso de ptrace() con

sudo sysctl -w kernel.yama.ptrace_scope=2

Esto bloquea el acceso de ptrace para usuarios sin privilegios, que es justo lo que necesita el ataque. Ten en cuenta el efecto colateral: herramientas de depuración como gdb o gcore dejarán de funcionar para usuarios no root. Es un parche temporal mientras aplicas la actualización real, no una solución que quieras dejar puesta a largo plazo.

Si administras servidores Ubuntu con varias cuentas de usuario, esta es de las que conviene aplicar pronto. Y si llevas equipos en producción, mirar el livepatching del kernel para reducir reinicios encaja bien aquí.

Puedes consultar más detalles sobre la distribución y su soporte en la ficha de Ubuntu.

Fuente

CVE-2026-46333 (ssh-keysign-pwn) Linux kernel vulnerability mitigations — Canonical, en el blog oficial de Ubuntu.

Sistemas relacionados

Ubuntu