L’AppArmor és la xarxa de seguretat que confina els processos a Ubuntu i a moltes altres distribucions: defineix quins fitxers, capacitats i recursos pot tocar cada programa. El 22 d’abril de 2026, Canonical va publicar la USN-8201-1 per tapar un conjunt de fallades que trencaven precisament aquesta xarxa. L’equip de recerca de Qualys, que les va descobrir, les va batejar com a CrackArmor.
Què passa exactament
El problema és al mateix mòdul de seguretat de Linux (LSM) que implementa l’AppArmor dins del nucli. Qualys va trobar que un usuari local sense privilegis podia carregar, reemplaçar i eliminar perfils d’AppArmor arbitraris. És a dir, just el que el sistema de confinament hauria d’impedir.
El cas més representatiu és el CVE-2026-23268, un problema clàssic de “diputat confós” (confused deputy). Qualsevol aplicació sense privilegis pot obrir per escriptura certs fitxers de control de securityfs, normalment muntat a /sys/kernel/security/. La comprovació de permisos només passa quan s’escriuen dades, no en obrir el descriptor. Si s’enganya un procés privilegiat perquè escrigui el format correcte en aquest descriptor ja obert, es poden carregar, modificar o esborrar perfils existents aprofitant els permisos del procés enganyat.
En total la USN cobreix 11 pedaços per a nou vulnerabilitats, amb identificadors que van del CVE-2026-23268 al CVE-2026-23411 (CVE-2026-23269, 23403, 23404, 23405, 23406, 23407, 23408, 23409, 23410 i 23411).
A qui afecta i amb quines conseqüències
El requisit comú és accés local sense privilegis. No parlem d’un atacant remot que tomba la màquina des de fora, sinó d’algú que ja té un compte o ha aconseguit executar codi al sistema. A partir d’aquí, segons la fallada concreta, podia:
- Provocar denegació de servei (caiguda o bloqueig del nucli).
- Llegir memòria sensible del nucli.
- Desactivar proteccions de seguretat carregant o esborrant perfils.
- Escalar privilegis fins a root.
- En alguns escenaris, escapar d’un contenidor.
Per a entorns multiusuari, allotjament compartit o contenidors que confien en l’AppArmor com a barrera, aquest darrer punt és el més seriós: un confinament que es creia sòlid esdevé evitable.
La USN-8201-1 afecta Ubuntu 18.04 LTS sobre el nucli linux-azure-5.4. La correcció arriba amb la versió 5.4.0-1161.167~18.04.1 (paquet linux-image-5.4.0-1161-azure i els meta linux-image-azure / linux-image-azure-5.4 a 5.4.0.1161.167~18.04.1).
Com protegir-se
Actualitza el nucli i reinicia. A Ubuntu n’hi ha prou amb:
sudo apt update && sudo apt upgrade
sudo rebootEl reinici cal perquè el pedaç és al nucli: fins que no arrenques el nou, segueixes executant el mòdul AppArmor vulnerable. Si gestiones una flota a Azure amb Ubuntu 18.04, prioritza les màquines multiusuari i les que executen contenidors no confiables.
Cal recordar que Ubuntu 18.04 LTS és en fase de manteniment ampliat (ESM). Si en depens, assegura’t de tenir Ubuntu Pro actiu per continuar rebent aquest tipus de correccions. L’opció més sana a mitjà termini és migrar a una versió amb suport estàndard, com ara una branca LTS més recent d’Ubuntu.
Font
- Ubuntu Security Notice: USN-8201-1
- Detall del CVE principal: CVE-2026-23268 a NVD