La vulnerabilidad CVE-2026-31431 ingresa al catálogo KEV de CISA el 1 de mayo mientras AlmaLinux, Red Hat y Ubuntu publican kernels parcheados; dos distribuciones independientes lanzan imágenes de mayo con kernel 7.0.
La Agencia de Ciberseguridad de EE.UU. incluyó CVE-2026-31431 en su lista de vulnerabilidades explotadas activamente el 1 de mayo; AlmaLinux ya distribuyó kernels parcheados.
La Cybersecurity and Infrastructure Security Agency (CISA) agregó el 1 de mayo de 2026 la vulnerabilidad CVE-2026-31431 —conocida como Copy Fail— al catálogo Known Exploited Vulnerabilities (KEV), el registro de fallos que CISA considera activamente explotados en entornos reales. La inclusión en KEV activa la directiva operacional vinculante BOD 22-01, que obliga a todas las agencias del gobierno federal estadounidense a aplicar el parche dentro de 72 horas. El fallo, con puntuación CVSS de 7.8, reside en el módulo criptográfico algif_aead del kernel Linux. Un investigador sin privilegios puede ejecutar un script de 732 bytes en Python que sobrescribe cuatro bytes controlados en el caché de páginas de cualquier archivo legible del sistema, lo que permite modificar un binario setuid y obtener acceso root. El equipo Xint de Theori publicó el proof-of-concept el 29 de abril tras coordinar la divulgación con el equipo de seguridad del kernel. AlmaLinux liberó kernels parcheados el 1 de mayo; Red Hat, Ubuntu y Amazon Linux anunciaron actualizaciones disponibles en sus repositorios de producción en las siguientes 24 horas. Para los equipos de sistemas costarricenses que administran flotas Linux —desde servidores del sector público hasta infraestructura de Zona Franca— la prioridad es clara: actualizar antes del lunes. El Centro de Respuesta a Incidentes de Seguridad Informática de Costa Rica (CSIRT-CR) no ha emitido alerta oficial al cierre de esta edición, pero el alcance del fallo (todos los kernels compilados desde 2017) hace que la actualización sea urgente independientemente.
Los investigadores de Theori publicaron análisis técnico completo de CVE-2026-31431 tras la divulgación coordinada: el fallo no está en criptografía sino en la gestión del ciclo de vida de los buffers del módulo AEAD.
Copy Fail (CVE-2026-31431) no es un error criptográfico: es un bug de lógica en la plantilla authencesn del kernel Linux que gestiona operaciones de cifrado autenticado AEAD (Authenticated Encryption with Associated Data). El fallo permite que un proceso sin privilegios desencadene una escritura controlada de cuatro bytes en el caché de páginas del sistema de archivos —suficiente para alterar la firma de un binario setuid y obtener root de forma determinista. Theori denominó al ataque «Copy Fail» porque el detonante es una operación de copia fallida que el kernel no maneja correctamente, dejando apuntadores al buffer en un estado inconsistente. La investigación del equipo Xint reveló que el fallo existe en todos los kernels compilados desde 2017, año en que se incorporó la plantilla authencesn a la rama mainline. El PoC publicado corre en 732 bytes de Python y obtiene root en Ubuntu 24.04, RHEL 9, Amazon Linux 2023 y SUSE Linux Enterprise 15 sin modificaciones. El Canadian Centre for Cyber Security y CERT-EU emitieron avisos independientes confirmando el alcance. El ángulo contrario lo presenta el CERT/CC de Carnegie Mellon: el módulo algif_aead no está habilitado por defecto en todos los kernels —requiere CONFIG_CRYPTO_USER_API_AEAD en tiempo de compilación—, lo que significa que distribuciones con kernels endurecidos (Fedora Silverblue, sistemas embedded) pueden no estar expuestas. Para los administradores ticos, esto implica que el primer paso es verificar con `grep CRYPTO_USER_API_AEAD /boot/config-$(uname -r)` si el kernel en producción tiene el módulo activo antes de priorizar la actualización de emergencia.
RedHat, Canonical y Amazon publicaron parches en sus canales estables el 1 y 2 de mayo. Para verificar exposición: `grep CRYPTO_USER_API_AEAD /boot/config-$(uname -r)` — si el resultado es `=y` o `=m`, el sistema requiere actualización inmediata. Los contenedores Linux sin acceso al kernel del host no están expuestos directamente, pero los hipervisores subyacentes sí.
cat /feed/distribucionesnuevasisos.md
> Arch Linux publicó el 1 de mayo su imagen ISO mensual 2026.05.01, la primera en basarse en el kernel Linux 7.0 estable. La imagen incluye el instalador mejorado archinstall 3.2 con soporte nativo para discos NVMe con múltiples espacios de nombres y un nuevo perfil de seguridad que aplica SELinux-compat por defecto en instalaciones de servidor. Los administradores que usen Arch en servidores de producción y aún no hayan actualizado al 7.0 pueden usar la nueva ISO como referencia.
> Por separado, AerynOS —la distribución independiente desarrollada por el equipo que anteriormente contribuía a Solus— lanzó AerynOS 2026.05 con GNOME 50.1, KDE Plasma 6.6.4 y kernel 7.0. Es la primera distribución independiente en adoptar GNOME 50.1 en una imagen de producción; la versión incorpora la nueva barra de actividades rediseñada y el motor de animaciones Fractal. AerynOS usa el gestor de paquetes Serpentos y es rolling-release, sin fechas de EOL.
> Ambas ISOs incluyen el parche de Copy Fail (CVE-2026-31431) al compilar contra las versiones del kernel 7.0 que recibieron el backport de seguridad. Para usuarios costarricenses que evalúen migrar estaciones de trabajo de desarrollo, mayo 2026 es un buen momento para probar AerynOS por primera vez: la imagen de instalación es más pequeña que Ubuntu y el ciclo de actualizaciones garantiza parches de seguridad en horas en lugar de días.
Mint publica las imágenes HWE (Hardware Enablement) de 22.3 para usuarios con hardware posterior a 2024 que el kernel 6.8 de Ubuntu 24.04 LTS base no soporta adecuadamente.
Linux Mint publicó las imágenes ISO HWE de la versión 22.3, que sustituyen el kernel 6.8 de Ubuntu 24.04.2 LTS por el kernel 6.17 de Ubuntu 24.04.4 LTS. Las ISOs HWE están destinadas a usuarios con hardware de 2024 en adelante —especialmente laptops con chips Intel Core Ultra (Lunar Lake, Arrow Lake) y AMD Ryzen AI— que experimentaban problemas de controladores con el kernel base de Mint 22.3. Mint 22.3 HWE mantiene el escritorio Cinnamon 6.4 y el conjunto completo de herramientas de productividad de Mint, con la única diferencia del kernel y los módulos de firmware incluidos. El proyecto recomienda la versión estándar (kernel 6.8) para hardware anterior a 2024 y la HWE para equipos recientes, en particular aquellos con interfaces Thunderbolt 5 o GPUs integradas de última generación. Para el mercado costarricense, donde empresas como Intel en Belén distribuyen laptops corporativos con procesadores Lunar Lake desde 2025, la ISO HWE de Mint es la ruta más directa para adoptar Linux sin lidiar con drivers rotos. El soporte de red de las tarjetas Wi-Fi Intel BE200 —standard en laptops empresariales post-2024— solo está garantizado con kernel 6.15 o superior.
El sábado 2 de mayo de 2026 cierra la primera semana del mes con una agenda doble para los equipos de sistemas: aplicar el parche de Copy Fail (CVE-2026-31431) antes del lunes y procesar las novedades de Arch Linux 2026.05.01 y AerynOS 2026.05. El primero es urgente —CISA lo tiene en KEV y el PoC es público—; el segundo es bienvenido: el ecosistema de distribuciones crece con una nueva opción rolling que apuesta por GNOME 50.1 y un gestor de paquetes propio. En el fondo del escenario, el ciclo del kernel 7.1 sigue su curso: el primer RC lleva seis días en pruebas sin reportes de regresiones críticas, lo que sugiere que 7.1-rc2 podría llegar el próximo domingo 10 de mayo con las primeras correcciones de la ventana de merge. El parche de Copy Fail fue incorporado como backport urgente al árbol 7.0.y stable antes de que 7.1 pudiera incluirlo nativamente. Para Costa Rica, la semana deja una lección práctica: tener un canal de notificación de seguridad para el kernel activo —sea RSS de CISA KEV, lista kernel-announce o el boletín de su distribución— no es optativo para organizaciones que administran más de diez servidores Linux.