El ritmo de publicación de vulnerabilidades en el equipamiento lógico libre durante las últimas cuatro semanas ha resultado excepcionalmente alto. Para que los usuarios de ALDOS puedan conservar la tranquilidad, he preparado este resumen con las actualizaciones de seguridad que he ido publicando, incluyendo las correcciones para las amenazas más críticas.

Vulnerabilidades resueltas en los últimos días

Hay varios temas importantes a resaltar.

PackageKit: Pack2TheRoot (CVE-2026-41651)

Se han publicado paquetes de PackageKit puestos al día que corrigen una condición de carrera (TOCTOU) que permitía a un usuario local sin privilegios elevar sus permisos a root. La vulnerabilidad, conocida como Pack2TheRoot, afectaba a las versiones de PackageKit comprendidas entre la 0.8.1 y la 1.3.4.

Acción ejecutada: Se ha actualizado el paquete PackageKit a la versión 1.1.13-9, que incluye el parche de seguridad necesario. Los sistemas que apliquen esta actualización quedarán protegidos.

Rsync: múltiples vulnerabilidades críticas

Se han corregido varias vulnerabilidades en rsync que afectaban a versiones anteriores a la 3.4.3. Entre ellas se encontraban fallos de severidad alta que permitían desde una denegación de servicio hasta la ejecución remota de código en configuraciones específicas.

Acción ejecutada: Se ha actualizado el paquete rsync a la versión 3.4.3-1. Durante el proceso de compilación se resolvió un problema con la llamada al sistema openat2 (símbolo SYS_openat2 ausente en las cabeceras del núcleo), lo que garantiza que la nueva versión funcione correctamente en el núcleo 5.10.x. La actualización está disponible tanto para la arquitectura x86_64 como para i386.

OpenSSH: correcciones de seguridad

Se han publicado paquetes de openssh puestos al día (versión 8.0p1-13) que corrigen los siguientes CVE:

• CVE-2026-35385
• CVE-2026-35387
• CVE-2026-35388
• CVE-2026-35414

Acción ejecutada: Se han sincronizado los parches procedentes del paquete de AlmaLinux 8, adaptándolos al paquete de ALDOS. Los usuarios deben aplicar la actualización a la versión 8.0p1-13 para quedar protegidos.

xfce4-screensaver: corrección de seguridad

Se ha publicado un paquete de xfce4-screensaver puesto al día (versión 4.20.2-2) que incluye un parche para resolver un problema de seguridad reportado en el siguiente enlace:

• https://gitlab.xfce.org/apps/xfce4-screensaver/-/work_items/187

El parche aplicado es el que figura en la confirmación 4436087c6af5e915a2438d7c1dd0fdc282f547f8 .

Acción ejecutada: Se ha actualizado el paquete a la versión 4.20.2-2. Los usuarios de Xfce que mantengan sus sistemas al día quedarán protegidos.

Vulnerabilidades ya publicadas en portada

Las siguientes vulnerabilidades fueron anunciadas en su momento en la portada de alcancelibre.org y se consideran cubiertas:

• CVE-2026-31431 (Copy Fail)
• CVE-2026-43284 (Dirty Frag)
• CVE-2026-43500 (Dirty Frag)

Estado de Fragnesia (CVE-2026-46300)

La vulnerabilidad conocida como Fragnesia afecta al núcleo Linux y permite una escalada de privilegios local. El parche para la rama 5.10.x aún no ha sido publicado de forma oficial por los mantenedores del núcleo estable.

Estado actual en ALDOS: El paquete kernel-5.10.256-30.aldos.x86_64 es el más reciente disponible y carece de la corrección para Fragnesia. Mientras se aguarda la publicación del núcleo 5.10.257 (o una versión posterior que incluya el parche), se recomienda a los administradores de sistemas que lo consideren necesario aplicar la mitigación temporal mediante el bloqueo del módulo rxrpc.

La mitigación consiste en crear un archivo de configuración en /lib/modprobe.d/ o /etc/modprobe.d/ con el siguiente contenido:

install rxrpc /bin/false

Esta medida impide la carga del módulo rxrpc, eliminando la superficie de ataque mientras se espera el núcleo actualizado. No se han observado efectos secundarios en sistemas que prescindan del protocolo AFS o de configuraciones específicas de red relacionadas con rxrpc.

Agradecimiento

Las últimas semanas han resultado especialmente intensas en cuanto a la publicación de vulnerabilidades. Agradezco la paciencia de los usuarios de ALDOS y les recuerdo que la mejor forma de mantenerse protegidos consiste en mantener sus sistemas actualizados con la mayor brevedad posible. Como siempre, pueden encontrar los paquetes actualizados en sus repositorios habituales.

La defensa de un sistema comienza por tenerlo al día. Si encuentran cualquier anomalía tras la actualización, no duden en informarla en los canales de soporte de alcancelibre.org.

📚 Bibliografía

• CVE-2026-41651 (Pack2TheRoot) en NVD
• CVE-2026-35385 (OpenSSH) en NVD
• CVE-2026-35387 (OpenSSH) en NVD
• CVE-2026-35388 (OpenSSH) en NVD
• CVE-2026-35414 (OpenSSH) en NVD
• CVE-2026-46300 (Fragnesia) en NVD
• Xfce4-screensaver: incidencia #187
• Xfce4-screensaver: confirmación del parche 4436087c
• Sitio oficial de Xfce