El 24 de febrer de 2026 Canonical va publicar l’avís de seguretat USN-8059-1, una altra tanda de correccions per al nucli Linux que distribueix Ubuntu. Forma part d’una sèrie d’avisos de nucli que la companyia va anar deixant anar al llarg de febrer (USN-8028-1, USN-8033-1, USN-8052-1 i USN-8059-1), una mostra del manteniment de seguretat continu que demana el nucli del sistema.
Què corregeix l’avís
Canonical ho descriu així en el text oficial: “es van descobrir diversos problemes de seguretat al nucli Linux. Un atacant podria utilitzar aquests problemes per comprometre el sistema.” La redacció és genèrica a propòsit, però els identificadors que acompanyen la correcció apunten al subsistema de xarxa SMB, i més concretament al servidor SMB integrat al nucli, ksmbd.
Aquestes són les vulnerabilitats referenciades:
- CVE-2025-37899: un error de tipus use-after-free a ksmbd que salta durant el tancament de sessió (session logoff). L’objecte
sess->userpot continuar en ús per un altre fil —per exemple, quan una altra connexió envia una petició de session setup per enganxar-se a la sessió que s’està alliberant—, i queda un punter apuntant a memòria ja alliberada. Errors d’aquesta mena poden acabar en corrupció de memòria del nucli. - CVE-2025-22037: un altre problema dins del mateix terreny del sistema de fitxers de xarxa SMB.
Els errors use-after-free a l’espai del nucli són especialment delicats. Segons com es reaprofiti aquesta memòria alliberada, es poden quedar en una denegació de servei (una caiguda del sistema) o, en els casos més greus, obrir la porta a escalada de privilegis o execució de codi en el context del nucli.
A qui afecta
USN-8059-1 cobreix aquestes branques:
- Ubuntu 24.04 LTS (Noble):
linux,linux-gkeop,linux-lowlatency,linux-oracleilinux-raspi. - Ubuntu 22.04 LTS (Jammy):
linux-hwe-6.8ilinux-lowlatency-hwe-6.8.
El risc real canvia molt segons com d’exposat estigui cada equip. Els que tenen més números són els que fan de servidor SMB amb ksmbd i accepten connexions de xarxa, sobretot si queden accessibles des de xarxes que no controles. En un escriptori sense ksmbd actiu el vector perd gairebé tot el pes, tot i que la recomanació d’actualitzar val igual per a tothom.
Gravetat
Canonical no dona una puntuació CVSS unificada en el mateix avís i resumeix l’impacte de manera genèrica com a “compromís del sistema”. Pel que són aquests errors (use-after-free en un servei de xarxa del nucli), cauen en un rang d’importància alta, que és com Canonical etiqueta aquesta mena d’actualitzacions de nucli.
Mitigació i pegat
L’única cosa que recomana Canonical és instal·lar les versions corregides del nucli que ja té als seus repositoris. Per actualitzar:
sudo apt update
sudo apt full-upgrade
sudo rebootDos detalls de l’avís que val la pena tenir presents:
- Has de reiniciar l’equip després d’actualitzar perquè carregui el nou nucli.
- L’avís porta un canvi d’ABI: si utilitzes mòduls de nucli de tercers (controladors propietaris, per exemple), hauràs de recompilar-los i reinstal·lar-los un cop actualitzis.
I com a mesura extra per reduir superfície d’atac, en servidors que no comparteixen fitxers per SMB el més assenyat és deixar ksmbd desactivat i limitar l’accés de xarxa al servei amb un tallafocs.
Font
- Ubuntu Security Notice USN-8059-1: https://ubuntu.com/security/notices/USN-8059-1
- CVE-2025-37899: https://nvd.nist.gov/vuln/detail/CVE-2025-37899
- CVE-2025-22037: https://nvd.nist.gov/vuln/detail/CVE-2025-22037