El 12 de març de 2026 l’equip de seguretat de Debian va publicar DSA-6163-1, una actualització del nucli Linux per a la branca oldstable (Debian 12 “Bookworm”). L’avís agrupa una tanda gran de correccions que, segons el text oficial, poden derivar en escalada de privilegis, denegació de servei o fuites d’informació. La versió corregida del paquet és 6.1.164-1.
Què corregeix aquest avís
No és un únic error cridaner, sinó un paquet gran de correccions acumulades en subsistemes diferents del nucli. Entre els CVE inclosos hi ha els errors d’AppArmor descoberts per la Qualys Threat Research Unit i batejats com a CrackArmor, que permeten a un usuari local sense privilegis saltar-se proteccions del nucli i, en el pitjor cas, escalar a root. Hi viatgen al costat correccions que arrenquen el 2023 (per exemple CVE-2023-53424) i arriben fins a la sèrie CVE-2026-232xx més recent, a més d’uns quants errors del 2025.
L’avís no detalla cada CVE al seu cos: remet al security tracker de Debian i a la publicació de Qualys per a la llista completa i els detalls tècnics. És habitual en les actualitzacions de nucli, on Debian reuneix en un sol paquet els pedaços que s’han anat aplicant aigües amunt.
A qui afecta
A qualsevol màquina amb Debian 12 Bookworm i un nucli de la branca 6.1 sense actualitzar. Com que Bookworm ara és oldstable, parlem sobretot de servidors i equips que encara no han migrat a Debian 13 “Trixie”. Si gestiones sistemes Bookworm en producció, aquest avís et toca.
Una part important de les vulnerabilitats agrupades són de tipus local: necessiten que l’atacant ja tingui accés al sistema. Això no les fa menors. En entorns multiusuari, en hosting compartit o on corren contenidors, una escalada local a root és just l’esglaó que separa un compte compromès d’un control total de la màquina. Els errors de CrackArmor encaixen en aquest patró i a més poden trencar l’aïllament entre contenidors.
Gravetat
Debian no assigna una puntuació CVSS global a l’avís, però la combinació d’escalada de privilegis, denegació de servei i fuita d’informació sobre tants CVE el situa com una actualització d’alta prioritat. Els errors d’AppArmor per si sols ja justificarien pedaçar com més aviat millor, perquè són al nucli des de fa anys i afecten milions de sistemes Debian, Ubuntu i SUSE.
Com actualitzar
Actualitza el nucli a la versió 6.1.164-1 o posterior:
sudo apt update
sudo apt full-upgradeDesprés necessites reiniciar per arrencar amb el nucli pedaçat, ja que les correccions afecten codi que s’executa a l’arrencada. Comprova la versió activa amb uname -r abans i després del reinici. Si tens contractat livepatch o un mecanisme equivalent, revisa quins CVE cobreix i quins encara requereixen reinici: molts d’aquests errors no es mitiguen en calent.
Per a la llista exacta de CVE de la teva instal·lació, consulta el security tracker de Debian enllaçat més avall.
Font
- Avís oficial: Debian Security Announce — DSA-6163-1
- Sistema afectat: /ca/debian