El 12 de març de 2026 Debian va publicar l’avís de seguretat DSA-6162-1 per al kernel Linux de la seva branca estable, trixie (Debian 13). El pedaç tanca el conjunt d’errors a AppArmor que Qualys va batejar com a CrackArmor, juntament amb diverses vulnerabilitats addicionals del kernel. La versió corregida és 6.12.74-2.
Què és CrackArmor
CrackArmor és el nom que la Threat Research Unit de Qualys va donar a un grup de vulnerabilitats al mòdul AppArmor del kernel. AppArmor és el sistema de control d’accés obligatori (MAC) que Debian, Ubuntu i SUSE fan servir per confinar processos i limitar el que cada programa pot tocar. El problema és de tipus confused deputy: una part privilegiada del kernel fa accions en nom d’un procés sense comprovar bé si aquest procés tenia dret a demanar-les.
Els errors són presents des de la versió 4.11 del kernel, alliberada l’abril de 2017. És a dir, qualsevol sistema amb AppArmor actiu i un kernel posterior a aquella data ha estat potencialment vulnerable durant anys.
A qui afecta i amb quina gravetat
DSA-6162-1 agrupa diversos CVE, entre ells CVE-2026-23233 (la referència principal de l’avís), CVE-2025-71238, CVE-2026-23100, CVE-2026-23221, CVE-2026-23234, CVE-2026-23235, CVE-2026-23236, CVE-2026-23237 i CVE-2026-23238.
L’impacte que descriu Debian és clar: un usuari local sense privilegis pot, en determinades circumstàncies, escalar a root, a més de provocar caigudes del sistema (denegació de servei) o fugues d’informació del kernel. No hi ha component remot: cal accés local previ a la màquina. Tot i així, en servidors compartits, hosting multiusuari o entorns amb contenidors on l’aïllament depèn del kernel, una escalada local passa a ser un problema seriós, perquè trenca justament la barrera en què confies per separar inquilins.
Val la pena recordar que aquests errors no són exclusius de Debian. Afecten qualsevol distribució que integri AppArmor, i per això Ubuntu i altres van publicar correccions en paral·lel a les de Debian.
Com protegir-te
La mitigació és directa: actualitzar el paquet del kernel a 6.12.74-2 o superior a trixie. Els passos habituals:
sudo apt update
sudo apt upgradeDesprés d’instal·lar el nou kernel cal reiniciar la màquina perquè el sistema arrenqui amb la versió pedaçada. Mentre no reiniciïs continuaràs executant el kernel vell i vulnerable, per molt que el paquet ja estigui actualitzat al disc.
Si gestiones màquines que no pots reiniciar de seguida, prioritza com a mínim les que tenen diversos usuaris locals o contenidors, que són les que tenen més exposició davant d’una escalada de privilegis. Comprova la versió activa amb uname -r i contrasta-la amb la corregida.
Debian també va alliberar DSA-6163-1 per a la branca oldstable Bookworm (Debian 12), que recull aquests mateixos errors juntament amb altres correccions. Si tens màquines a Bookworm, revisa també aquell avís.
Per a la fitxa de la distribució i la resta d’avisos, consulta Debian.