Canonical publicó el 7 de mayo de 2026 el aviso USN-8245-1, una actualización del kernel de Ubuntu que arregla más de un centenar de vulnerabilidades de golpe. La que se llevó los titulares es EntrySign, registrada como CVE-2024-36347, un fallo en la verificación del microcódigo de algunas CPU AMD que descubrió el equipo de seguridad de Google.
Qué es EntrySign
El microcódigo es el firmware interno que la CPU carga para corregir errores de hardware o ajustar su comportamiento. En procesadores AMD basados en la arquitectura Zen, la rutina que comprobaba la firma de ese microcódigo usaba AES-CMAC como función de verificación. AES-CMAC sirve para autenticar mensajes, pero no es una función hash criptográfica adecuada para validar firmas. Con ese error de diseño, un atacante que ya tenga privilegios elevados en el sistema puede preparar microcódigo malicioso y conseguir que la CPU lo acepte como legítimo.
Una vez cargado, ese microcódigo se ejecuta por debajo del sistema operativo, así que rompe tanto la integridad como la confidencialidad de la máquina. No es un fallo que permita entrar desde fuera: hace falta ya tener acceso administrativo. El peligro está en lo que viene después, porque desde ahí se puede comprometer el arranque seguro, los entornos confidenciales tipo SEV-SNP o cualquier garantía que dependa de la cadena de confianza de la CPU.
A quién afecta
EntrySign es un problema de los procesadores AMD Zen, no exclusivo de Ubuntu ni de Linux. El parche del kernel que entrega Canonical aplica la mitigación por software disponible. Los paquetes actualizados en USN-8245-1 son las variantes linux-azure y linux-oem-6.17 (kernel 6.17), para Ubuntu 25.10 y Ubuntu 24.04 LTS:
linux-azureylinux-azure-6.17: 6.17.0-1013.13linux-oem-6.17: 6.17.0-1020.20
Junto a EntrySign, el mismo aviso reúne más de 130 CVE de distintos subsistemas del kernel acumulados en este ciclo, así que la actualización es de calado aunque tu hardware no sea AMD.
Mitigación y parche
Actualiza el kernel cuanto antes:
sudo apt update && sudo apt full-upgrade
sudo rebootEl reinicio no es opcional. El nuevo kernel no entra en uso hasta que reinicias, y este aviso incluye cambios de ABI, lo que obliga a recompilar los módulos de kernel de terceros (drivers propietarios, DKMS) tras actualizar.
Conviene ser claro con un punto: el parche del sistema operativo aplica la mitigación que puede hacerse desde software, pero la corrección completa de EntrySign requiere una actualización de BIOS/firmware del fabricante de tu placa o servidor. Si gestionas máquinas AMD, revisa también las actualizaciones de microcódigo y BIOS de tu proveedor.
Si trabajas con kernels de Ubuntu, te interesa repasar otros avisos AMD recientes como USN-8028-1, que cubría fallos de AMD SEV-SNP. Y para minimizar las ventanas de reinicio en flotas grandes, vale la pena conocer el soporte de Livepatch en Arm64, que aplica parches críticos del kernel sin reiniciar. La ficha completa de Ubuntu recoge las versiones soportadas.
Fuente
- Ubuntu Security Notice USN-8245-1: https://ubuntu.com/security/notices/USN-8245-1
- Detalle de CVE-2024-36347 en NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-36347