El 15 de abril de 2026 SUSE publicó SUSE-SU-2026:1369-1, una actualización de glibc para SUSE Linux Enterprise 15 y openSUSE Leap 15.6 que corrige dos fallos en cómo la biblioteca procesa las respuestas DNS. Ambos están catalogados con gravedad moderada, pero conviene aplicarlos porque tocan código que se ejecuta en prácticamente cualquier programa que resuelve nombres de red.
Qué falla exactamente
glibc incluye su propio backend DNS, el que se usa cuando nsswitch.conf delega la resolución en dns. Los dos CVE afectan a esa ruta.
CVE-2026-4437 es una lectura fuera de límites en el procesado de la respuesta DNS. Si un servidor configurado devuelve una respuesta manipulada, el resolver puede tratar una sección que no es la de respuesta como si lo fuera, saltándose lo que dicta la especificación del DNS. En la práctica esto se traduce en accesos a memoria fuera del buffer cuando una aplicación llama a gethostbyaddr o gethostbyaddr_r con el backend DNS activo. El resultado más probable es una caída del proceso, es decir, denegación de servicio.
CVE-2026-4438 es más sutil: bajo ciertas respuestas el resolver puede devolver al programa que lo llamó un nombre de host inválido, también en contra de lo que marca el estándar. Una aplicación que confíe en ese nombre para tomar decisiones (registros, listas de control de acceso por hostname, logs) recibe un dato que no debería haber pasado la validación.
Las versiones de glibc afectadas van de la 2.34 a la 2.43. No hace falta que el atacante esté en tu red local: basta con que controle, o sepa envenenar, una respuesta del servidor DNS que tu sistema consulta.
A quién afecta
A cualquier sistema SUSE/openSUSE de los publicados en el aviso que use el resolver de glibc, que es lo normal. Pesan más los servidores que hacen resolución inversa de direcciones IP de forma habitual: balanceadores, servidores de correo que comprueban el PTR de quien conecta, herramientas de monitorización y cualquier servicio que registre el hostname del cliente. Ahí es donde gethostbyaddr se llama constantemente y donde una respuesta manipulada tiene más superficie para hacer daño.
Gravedad y mitigación
SUSE clasifica ambos fallos como moderados. No hay ejecución de código demostrada; el impacto realista es la caída del servicio (CVE-2026-4437) o trabajar con un nombre de host que no es válido (CVE-2026-4438).
La corrección es directa: actualizar el paquete glibc con zypper.
sudo zypper refresh
sudo zypper patchDespués de aplicar el parche conviene reiniciar los servicios que tengan glibc cargado en memoria, o reiniciar la máquina si quieres asegurarte de que nada sigue usando la versión antigua. No hay una mitigación cómoda que evite actualizar: el código vulnerable está en el propio resolver, así que parchear es el camino. Si gestionas openSUSE, tienes más contexto sobre el ciclo de la distribución en la ficha de openSUSE.
Fuente
- Aviso oficial: SUSE-SU-2026:1369-1
- CVE-2026-4437 en NVD
- CVE-2026-4438 en NVD