Canonical acaba de tancar un dels buits més visibles de la seva oferta de seguretat: Livepatch, el servei que aplica pedaços al kernel sense reiniciar la màquina, ja suporta oficialment l’arquitectura Arm64. Fins ara això només funcionava en AMD64, així que qui tingués servidors o dispositius basats en Arm havia de programar finestres de manteniment i reinicis cada cop que apareixia una errada seriosa al kernel. Això s’acaba.
Què s’anuncia i on funciona
El suport d’Arm64 arriba amb Ubuntu 26.04 LTS i Ubuntu Core 26. A la banda d’AMD64 la cobertura es manté com fins ara, des d’Ubuntu Core 20 endavant. La idea de fons és senzilla: quan es descobreix una vulnerabilitat crítica al kernel, Livepatch aplica la correcció en calent i la màquina continua funcionant sense tallar el servei ni perdre l’estat en memòria.
Per a una arquitectura com Arm64, present en flotes de dispositius edge, servidors al núvol i maquinari que no sempre s’actualitza cada dia, poder tapar un forat del kernel sense tocar la disponibilitat canvia força els comptes operatius.
Per què ha costat tant arribar fins aquí
Aplicar un pedaç al kernel en execució no és trivial. El sistema ha d’aturar els fils en un punt segur, comprovar que cap no està executant codi que canviarà i només llavors commutar a la versió apedaçada. Per a això cal llegir la pila de crides de manera fiable, una cosa que en Arm64 depenia de tenir resolt el CONFIG_HAVE_RELIABLE_STACKTRACE i el model de consistència del kernel per a aquesta arquitectura.
Canonical situa l’anàlisi inicial a finals de 2023, amb la feina upstream coordinada entre 2024 i 2026 al costat d’altres publicadors de sistemes operatius, hyperscalers i fabricants de silici. El client de Livepatch per a Arm64 sobre Ubuntu 26.04 LTS va començar a funcionar en entorns de prova a finals de febrer de 2026. Per sota també va caldre una cadena d’eines madura (GCC, objdump, Kpatch) capaç de generar aquests pedaços en Arm64.
Com ho han muntat per dins
Un detall que convé saber: res d’emulació. Canonical va ampliar les seves build farms amb instàncies Arm64 dedicades per compilar de manera nativa, i va crear suites de regressió específiques per a aquesta arquitectura. Cada pedaç en calent implica compilar dues còpies del kernel per fer proves acumulatives, de manera que un pedaç d’Arm64 passi pel mateix nivell de verificació que ja s’aplica als d’AMD64. L’objectiu és que l’estabilitat sigui la mateixa a totes dues bandes, no un suport de segona.
Què t’aporta a tu
Si gestiones equips que no s’apedacen cada dia o cada setmana —i al món Arm això és molt comú—, aquesta és la diferència entre aplicar una correcció crítica tan bon punt surt o esperar la propera finestra de manteniment amb la vulnerabilitat exposada mentrestant. Canonical també ho emmarca dins el compliment del Cyber Resilience Act (CRA): mantenir els sistemes al dia en seguretat deixa de xocar amb la necessitat de no aturar el servei.
Livepatch forma part d’Ubuntu Pro, que és gratuït per a ús personal fins a un cert nombre de màquines. Si vols repassar què més cobreix la subscripció i el cicle de vida de les versions, tens la informació a la fitxa d’Ubuntu.
Font
Anunci original de Canonical: Canonical announces live kernel patching for Arm64 (ubuntu.com/blog).