Samba en Ubuntu: USN-8306-1 corrige seis fallos, dos con ejecución de código

Canonical publicó el 26 de mayo de 2026 el aviso de seguridad USN-8306-1, que corrige seis vulnerabilidades en Samba, el servidor de ficheros, impresión y autenticación SMB/CIFS que muchas redes mezclan con clientes Windows. Dos de los fallos abren la puerta a ejecución de código arbitrario, así que conviene aplicar la actualización cuanto antes en cualquier máquina que haga de servidor de ficheros o de controlador de dominio Active Directory.

El aviso afecta a Ubuntu 22.04 LTS, 24.04 LTS, 25.10 y la nueva 26.04 LTS. No todos los CVE tocan a todas las versiones, pero la recomendación es la misma: actualizar el paquete de Samba con apt update && apt full-upgrade y reiniciar el servicio (smbd, nmbd y winbind según corresponda).

Qué corrige cada CVE

Los dos fallos más serios son los que permiten ejecutar código:

• CVE-2026-4408 afecta al servidor DCE/RPC SAMR. Una gestión incorrecta de los scripts de comprobación de contraseñas permite que un atacante remoto consiga ejecución de código arbitrario en el servidor. Afecta a todas las versiones cubiertas por el aviso.
• CVE-2026-4480 está en el subsistema de impresión. El manejo deficiente de los comandos de impresión abre la misma vía de ejecución de código. También presente en todas las versiones.

El resto son de impacto menor pero no despreciable:

• CVE-2026-1933 permite modificar atributos extendidos de reparse points en ficheros que deberían ser de solo lectura, saltándose el control de acceso. Solo afecta a 25.10 y 26.04 LTS.
• CVE-2026-2340 está en el módulo vfs_worm, que sirve para hacer ficheros inmutables (write once, read many). El fallo deja sobrescribir archivos que deberían quedar bloqueados. Afecta a todas las versiones.
• CVE-2026-3238 provoca una denegación de servicio en el servidor WINS de un controlador de dominio Active Directory: un atacante remoto puede tumbar el servicio. Afecta a todas las versiones.
• CVE-2026-3012 es un fallo de inscripción automática de certificados que un atacante en posición de intermediario podría usar para instalar un certificado de CA malicioso. Afecta a 24.04 LTS, 25.10 y 26.04 LTS.

A quién afecta y cómo mitigarlo

Cualquier despliegue de Samba como recurso compartido, como controlador de dominio o como servidor de impresión está en el alcance. Los dos fallos de ejecución de código son los que justifican mover ficha rápido, sobre todo si el servicio queda expuesto más allá de la red local.

Canonical lo deja claro: una actualización estándar del sistema aplica todos los cambios necesarios. No hace falta reconfigurar nada, solo instalar las versiones parcheadas y reiniciar los demonios de Samba. Si dependes de vfs_worm para retención de datos o de la inscripción automática de certificados, repasa que esos servicios sigan funcionando tras el parche.

Para una panorámica de las versiones de Ubuntu soportadas y sus fechas de fin de soporte, tienes la ficha de Ubuntu.

Fuente

• Ubuntu Security Notice USN-8306-1: https://ubuntu.com/security/notices/USN-8306-1
• CVE-2026-4408: https://nvd.nist.gov/vuln/detail/CVE-2026-4408
• CVE-2026-4480: https://nvd.nist.gov/vuln/detail/CVE-2026-4480