CVE-2026-31431 permite escalar a root con 732 bytes de Python en prácticamente toda distribución Linux; los parches llegan hoy mientras la industria asimila el alcance.
Un error lógico de nueve años en la plantilla criptográfica del kernel permite a cualquier usuario local escribir cuatro bytes controlados en la caché de páginas de cualquier archivo legible y escalar a root sin condición de carrera.
Investigadores de la firma de seguridad Theori publicaron el 29 de abril los detalles de CVE-2026-31431, apodado CopyFail. La vulnerabilidad, introducida en 2017 con la optimización de descifrado AEAD in-place en el módulo `authencesn`, permite que un usuario sin privilegios combine el módulo con la llamada al sistema `splice()` para escribir cuatro bytes controlados en la caché de páginas de cualquier archivo legible —incluidos binarios setuid como `/usr/bin/sudo`. Dado que el kernel ejecuta binarios leyendo directamente la caché de páginas sin verificar el archivo físico en disco, el exploit nunca toca el disco y los mecanismos de vigilancia como `inotify` no detectan nada. A diferencia de Dirty Cow (2016) y Dirty Pipe (2022), CopyFail no requiere ganar una condición de carrera: el mismo script Python de 732 bytes funciona de forma determinista en x86-64 y ARM64 en Ubuntu, Fedora, Debian, openSUSE y Arch Linux. El parche oficial aterrizó en el kernel 6.18.22 con el commit `fafe0fa2995a`. Ubuntu publicó actualizaciones de emergencia el 30 de abril para todas sus versiones soportadas; Fedora y Debian siguieron horas más tarde. Para quienes no puedan actualizar de inmediato, la mitigación temporal es agregar `algif_aead` a la lista negra de módulos del kernel. El ángulo contrario: varios investigadores en la lista `oss-security` señalan que la explotabilidad práctica requiere acceso local al sistema, lo que limita el vector a entornos compartidos, servidores de alojamiento o instancias de nube con usuarios no confiables. En sistemas de escritorio de usuario único con AppArmor activo, el riesgo efectivo es menor al que sugiere el titular. Sin embargo, el impacto en centros de datos costarricenses —especialmente proveedores de VPS y universidades con servidores de cómputo compartido— es real: el CCTIR del MICITT emitió una alerta temprana para administradores de sistemas en el sector público y universidades estatales.
Tres decisiones técnicas independientes, tomadas entre 2017 y 2019, encadenaron una vulnerabilidad que nadie identificó porque cada pieza parecía inocua por sí sola.
La raíz de CVE-2026-31431 no es un error de programación obvio sino la convergencia de tres cambios legítimos. En 2017, el equipo de criptografía del kernel introdujo la opción de descifrado AEAD in-place en `authencesn` para ganar rendimiento en hardware sin soporte de scatter-gather. En 2018, el subsistema de archivos extendió las capacidades de `splice()` para operar con páginas de caché. En 2019, una refactorización de la gestión de scatterlists no anticipó el caso en que una página de caché de un archivo de solo lectura podía llegar como entrada writable en la cadena criptográfica. Según el análisis de Theori, ninguno de los tres cambios fue revisado en conjunto porque cada uno pasó por subsistemas distintos: criptografía, VFS y gestión de memoria respectivamente. El proceso de revisión del kernel, aunque riguroso dentro de cada subsistema, no tiene un mecanismo sistemático para detectar interacciones peligrosas entre subsistemas separados. Esta es la misma debilidad estructural que permitió Dirty Pipe en 2022. Para los administradores costarricenses que dependen del kernel para sistemas críticos —CCSS, CNE, INS, ICE— la lección práctica es priorizar la actualización a kernel 6.18.22 o aplicar el workaround de blacklist antes del fin de la jornada laboral del 30 de abril.
cat /feed/distribucionesarchlinux.md
> El equipo de Arch Linux publicó la ISO mensual de abril 2026 con Linux kernel 6.19 como núcleo predeterminado y Archinstall 4.1, que introduce un nuevo módulo de configuración de disco que soporta BTRFS con subvolúmenes por defecto y mejora la detección de firmware UEFI/Legacy. La ISO incluye las actualizaciones del ciclo de rollback de pacman 7.0.1 y los snapshots más recientes de pacman-mirrors.
> Dado el anuncio de CopyFail hoy, el equipo de Arch ya notificó por el canal #arch-announce que publicará una actualización de kernel a 6.19.2 con el parche de CVE-2026-31431 dentro de las próximas horas; la ISO de abril no incluye el parche dado que se lanzó pocas horas antes del embargo. Los usuarios que instalen Arch desde esta ISO deben ejecutar `pacman -Syu` inmediatamente tras la instalación para aplicar el parche.
> Para usuarios en Costa Rica, Arch Linux continúa siendo la distribución de referencia para estaciones de trabajo de desarrolladores en startups tecnológicas de la Gran Área Metropolitana, donde la capacidad de actualizar el kernel en horas sin esperar ciclos de lanzamiento de distribución es una ventaja operativa concreta.
A las pocas horas de la divulgación de CVE-2026-31431, Ubuntu 26.04, 24.04 y 22.04 LTS ya tenían kernels parchados disponibles en los repositorios oficiales de Canonical. Fedora 44 y Fedora 42 también publicaron actualizaciones de emergencia. Arch Linux anunció el parche para su canal `testing` con promoción a `core` en pocas horas. Del lado de las distribuciones con ciclos más conservadores, Debian 12 (bookworm) y RHEL 8/9 no tienen actualizaciones publicadas al cierre de esta edición; Red Hat emitió un aviso de seguridad pero la política de Red Hat requiere pruebas de regresión antes de publicar kernels de producción en canales estables. openSUSE Tumbleweed ya aplica el parche; openSUSE Leap 15.6 aún no. La mitigación de blacklist (`echo 'blacklist algif_aead' >> /etc/modprobe.d/local.conf`) funciona como puente mientras llega el parche oficial en todos los casos. Para el sector público costarricense —que opera mayoritariamente con RHEL o CentOS Stream en sus servidores— la recomendación práctica del MICITT es aplicar la mitigación de blacklist esta misma tarde y no esperar el parche oficial de Red Hat, que podría demorar entre 24 y 72 horas adicionales.
Resumen técnico para equipos de seguridad y administradores de sistemas costarricenses que gestionan flotas Linux.
CopyFail domina el ciclo de noticias Linux del 30 de abril: una vulnerabilidad de nueve años, un exploit de 732 bytes y una oleada de parches de emergencia en las distribuciones más populares del mundo. La ISO de Arch Linux salió horas antes del embargo y ya incluye instrucciones para actualizar. Debian y RHEL aún preparan sus parches de producción mientras la mitigación de blacklist sirve de puente. El patrón que emerge —una interacción peligrosa entre tres subsistemas que nadie revisó en conjunto— refuerza el argumento de quienes piden revisiones de seguridad cruzadas entre subsistemas del kernel. La propuesta de crear un equipo de seguridad inter-subsistemas ya existía en la lista de correo del kernel desde 2023; CopyFail le da urgencia renovada. Para los equipos de sistemas en Costa Rica, la prioridad inmediata es clara: parchar o mitigar antes del cierre del día.