AppArmor es la red de seguridad que confina a los procesos en Ubuntu y muchas otras distribuciones: define qué archivos, capacidades y recursos puede tocar cada programa. El 22 de abril de 2026, Canonical publicó la USN-8201-1 para tapar un conjunto de fallos que rompían justo esa red. El equipo de investigación de Qualys los bautizó como CrackArmor.
Qué pasa exactamente
El problema está en el propio módulo de seguridad de Linux (LSM) que implementa AppArmor dentro del kernel. Qualys encontró que un usuario local sin privilegios podía cargar, reemplazar y eliminar perfiles de AppArmor arbitrarios. Es decir, justo lo que el sistema de confinamiento debería impedir.
El caso más representativo es CVE-2026-23268, un problema clásico de “diputado confundido” (confused deputy). Cualquier aplicación sin privilegios puede abrir para escritura ciertos ficheros de control de securityfs, normalmente montado en /sys/kernel/security/. La comprobación de permisos solo ocurre cuando se escriben datos, no al abrir el descriptor. Si se engaña a un proceso privilegiado para que escriba el formato correcto en ese descriptor ya abierto, se puede cargar, modificar o borrar perfiles existentes aprovechando los permisos del proceso engañado.
En total la USN cubre 11 parches para nueve vulnerabilidades, con identificadores que van del CVE-2026-23268 al CVE-2026-23411 (CVE-2026-23269, 23403, 23404, 23405, 23406, 23407, 23408, 23409, 23410 y 23411).
A quién afecta y con qué consecuencias
El requisito común es acceso local sin privilegios. No hablamos de un atacante remoto que tumba la máquina desde fuera, sino de alguien que ya tiene una cuenta o ha logrado ejecutar código en el sistema. A partir de ahí, según el fallo concreto, podía:
- Provocar denegación de servicio (caída o bloqueo del kernel).
- Leer memoria sensible del kernel.
- Desactivar protecciones de seguridad cargando o borrando perfiles.
- Escalar privilegios hasta root.
- En algunos escenarios, escapar de un contenedor.
Para entornos con multiusuario, hosting compartido o contenedores que confían en AppArmor como barrera, esto último es lo más serio: un confinamiento que se creía sólido se vuelve evitable.
La USN-8201-1 afecta a Ubuntu 18.04 LTS sobre el kernel linux-azure-5.4. La corrección llega en la versión 5.4.0-1161.167~18.04.1 (paquete linux-image-5.4.0-1161-azure y los meta linux-image-azure / linux-image-azure-5.4 en 5.4.0.1161.167~18.04.1).
Cómo protegerse
Actualiza el kernel y reinicia. En Ubuntu basta con:
sudo apt update && sudo apt upgrade
sudo rebootEl reinicio es necesario porque el parche está en el kernel: hasta que no arrancas el nuevo, sigues ejecutando el módulo AppArmor vulnerable. Si gestionas una flota en Azure con Ubuntu 18.04, prioriza las máquinas multiusuario y las que ejecutan contenedores no confiables.
Conviene recordar que Ubuntu 18.04 LTS está en fase de mantenimiento ampliado (ESM). Si dependes de él, asegúrate de tener Ubuntu Pro activo para seguir recibiendo este tipo de correcciones. La opción más sana a medio plazo es migrar a una versión con soporte estándar, como Ubuntu en una rama LTS más reciente.
Fuente
- Ubuntu Security Notice: USN-8201-1
- Detalle del CVE principal: CVE-2026-23268 en NVD