L’11 de febrer de 2026 l’equip de seguretat d’Ubuntu va publicar l’avís USN-8028-1, una actualització del nucli Linux que tapa un bon grapat de vulnerabilitats repartides per diversos subsistemes. Unes quantes tenen a veure amb processadors AMD, i una en concret afecta la tecnologia de virtualització confidencial SEV-SNP.
Què corregeix l’avís
USN-8028-1 afecta Ubuntu 24.04 LTS (Noble Numbat) i actualitza tant el nucli genèric (linux) com la variant per a Raspberry Pi (linux-raspi). Aplega correccions que toquen molts subsistemes del nucli: arquitectures ARM, l’API criptogràfica, controladors de xarxa, sistemes de fitxers i components de virtualització, entre d’altres.
Les tres vulnerabilitats que més criden l’atenció tenen a veure amb processadors AMD:
- CVE-2024-36331: una inicialització incorrecta de la memòria cau de la CPU. Permetria a un atacant amb accés a l’hipervisor sobreescriure la memòria d’un convidat protegit per SEV-SNP, amb la consegüent pèrdua d’integritat de dades.
- CVE-2024-36350 i CVE-2024-36357: en determinats processadors AMD, un atacant podria inferir dades d’emmagatzematges (stores) previs, cosa que obre la porta a filtrar informació privilegiada.
Què és SEV-SNP i per què importa
AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging) és una característica del processador pensada per protegir la memòria de les màquines virtuals davant accessos no autoritzats, inclòs el mateix hipervisor. És una de les peces de l’anomenada computació confidencial, molt habitual al núvol, on qui gestiona la infraestructura no hauria de poder llegir ni manipular les dades dels inquilins.
CVE-2024-36331 erosiona just aquesta garantia: un hipervisor maliciós podria aprofitar la mala inicialització de la memòria cau per corrompre la memòria d’un convidat SEV-SNP. El model d’amenaça és exigent, ja que requereix control de l’hipervisor, de manera que el seu impacte pesa sobretot en proveïdors de núvol i entorns multiinquilí que confien en SEV-SNP com a límit de seguretat.
Gravetat
Val la pena posar les xifres en context. Ubuntu classifica CVE-2024-36331 amb prioritat mitjana, i la seva puntuació CVSS 3.1 es queda en 3.2 (baixa), perquè cal tenir privilegis d’hipervisor per explotar-lo. No és una fallada que es dispari de manera remota a la primera. Això sí, USN-8028-1 no es queda en aquests tres CVE: va dins d’una tanda molt àmplia que arregla problemes capaços de provocar escalada de privilegis, denegació de servei o fugues d’informació en altres subsistemes. Per això la recomanació d’actualitzar és clara.
Mitigació i pedaç
L’única mitigació recomanada és aplicar l’actualització publicada per Ubuntu:
- Instal·la les versions corregides del nucli:
linux6.8.0-100.100 ilinux-raspi6.8.0-1047.51 (o posteriors). - Reinicia el sistema perquè el nou nucli entri en vigor.
- Tingues en compte que aquesta actualització introdueix canvis d’ABI, per la qual cosa qualsevol mòdul de nucli de tercers s’haurà de recompilar.
Pots actualitzar amb sudo apt update && sudo apt full-upgrade i reiniciar tot seguit. USN-8028-1 forma part d’una sèrie d’avisos de nucli publicats al llarg de febrer de 2026 (USN-8028-1, USN-8033-1, USN-8052-1, USN-8059-1), de manera que mantenir el sistema al dia és la millor defensa.
Si vols entendre millor com Ubuntu gestiona aquestes actualitzacions, pots consultar la nostra fitxa d’Ubuntu.
Font
- Ubuntu Security Notice USN-8028-1 (Linux kernel): https://ubuntu.com/security/notices/USN-8028-1
- Detall de la vulnerabilitat a NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-36331