CVE-2022-0492 en cgroups v1 debía estar parcheada en agencias federales de EE.UU. antes de las 17:00 ET de hoy; Dirty Frag, Copy Fail y Fragnesia también activas; IBM y Red Hat lanzan Project Lightwell de $5.000 millones.
La falla en cgroups v1 — que permite escalar privilegios y escapar de contenedores sin condición de carrera — entró en el catálogo de vulnerabilidades explotadas de la CISA el 2 de junio con un plazo de tres días para agencias del gobierno estadounidense.
La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) agregó CVE-2022-0492 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 2 de junio de 2026, confirmando explotación activa en entornos reales. La vulnerabilidad —CVSS 7.8, clasificación High— reside en la función cgroup_release_agent_write() del subsistema cgroups v1 del kernel Linux: un atacante local sin privilegios puede abusar de verificaciones de autenticación insuficientes para escalar a root y escapar de un contenedor al host subyacente, según CyberPress. El plazo de remediación para agencias federales (FCEB) bajo la directiva BOD 22-01 es hoy, 5 de junio. Los kernels afectados incluyen versiones anteriores a 5.17-rc3, lo que cubre RHEL 8.x, Fedora 35, Ubuntu 14.04 ESM a 22.04 LTS y Debian 9.0 a 11.0. Administradores de sistemas deben priorizar hosts de contenedores y sistemas CI/CD, ya que en esos entornos la escalada local puede convertirse en compromiso de la plataforma completa. Para empresas costarricenses con infraestructura en nube o servidores propios con Linux —especialmente los centros de datos de las zonas francas de Cartago y Heredia que hospedan servicios de manufactura avanzada—, la ventana de explotación de CVE-2022-0492 sigue activa. El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) no ha emitido alerta pública al cierre de esta edición.
El investigador Hyunwoo Kim rompió el embargo el 7 de mayo antes de que las distribuciones pudieran coordinar parches; la falla encadena dos bugs en el subsistema xfrm/IPsec para corromper /etc/passwd con un solo comando.
Dirty Frag combina CVE-2026-43284 y CVE-2026-43500, dos vulnerabilidades en el subsistema xfrm/IPsec del kernel Linux, descubiertas por el investigador Hyunwoo Kim y divulgadas el 7 de mayo de 2026 en la lista oss-security antes del embargo coordinado con las distribuciones. La explotación permite que cualquier usuario local sin privilegios corrompa páginas de caché de página —como /etc/passwd o /usr/bin/su— mediante la ruta de descifrado in-place usando splice(2)/sendfile(2). No requiere condición de carrera, no provoca kernel panic en caso de fallo y tiene una tasa de éxito muy alta, según Help Net Security y SecurityWeek. Los parches se publicaron el 8 de mayo. Distribuciones afectadas: Ubuntu 24.04 LTS, RHEL 10.1, CentOS Stream 10, AlmaLinux 10, Fedora 44, openSUSE Tumbleweed, Debian y Arch Linux. Sin embargo, el 14 de mayo se descubrió que el parche de Dirty Frag introdujo una nueva vulnerabilidad (Fragnesia, CVE-2026-46300), lo que generó una segunda ronda de actualizaciones urgentes. Para quienes administran servidores Linux en Costa Rica, la recomendación concreta es verificar la versión del kernel instalada y confirmar que los parches de mayo están aplicados. Las versiones vulnerables incluyen kernels sin las correcciones publicadas después del 8 de mayo de 2026 en los canales de actualización de cada distribución.
El 1 de mayo de 2026, el Equipo de Seguridad de Microsoft divulgó CVE-2026-31431, apodado «Copy Fail», que permite la escalada de privilegios a root en entornos cloud. La vulnerabilidad afecta prácticamente a todas las distribuciones Linux con kernels desde 2017 en adelante: Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16, Debian, Fedora y Arch Linux, según el Microsoft Security Blog. Cloudflare publicó el 3 de junio su post-mortem interno sobre cómo sus equipos detectaron y mitigaron Copy Fail en producción antes de la divulgación pública. La mitigación de Cloudflare —que afecta a miles de servidores en múltiples regiones— tomó 11 horas desde la alerta interna hasta el deploy completo de parches.
cat /feed/kernellinuxfragnesia.md
> El 14 de mayo de 2026, Help Net Security reportó que el parche para Dirty Frag (publicado el 8 de mayo) introdujo una nueva vulnerabilidad de escalada de privilegios locales (LPE) catalogada como CVE-2026-46300 y denominada «Fragnesia». La cadena — parchear un bug introduce otro — es un recordatorio de la complejidad intrínseca de las rutas de memoria del kernel en código de red de bajo nivel.
> Al cierre de esta edición, las distribuciones más afectadas han publicado una segunda ronda de actualizaciones. La recomendación inmediata para sistemas que aplicaron el parche de Dirty Frag entre el 8 y el 14 de mayo: actualizar de nuevo con los parches de la semana del 14 de mayo.
> La secuencia Dirty Frag → Fragnesia ilustra un patrón documentado en el kernel: los subsistemas de gestión de memoria de bajo nivel (xfrm, IPsec, páginas de caché) son tan entrelazados que una corrección localizada puede abrir nuevas superficies. El debate en la lista de desarrollo del kernel sobre cómo reestructurar estos subsistemas sin generar regresiones continúa activo.
El blog Friday Five de Red Hat del 5 de junio destacó que grandes empresas están migrando aceleradamente sus cargas de trabajo legacy desde los productos VMware de Broadcom hacia Red Hat OpenShift Virtualization, citando los masivos aumentos de precios que Broadcom aplicó tras la adquisición de VMware en 2023. Red Hat publicó guías técnicas de migración y anunció que el proceso de transición toma en promedio entre 90 y 180 días para entornos enterprise complejos. El mismo Friday Five presenta al CTO de Red Hat, Chris Wright, hablando sobre cómo los líderes tecnológicos navegan las hojas de ruta de IA que cambian cada trimestre —un tema directamente relevante para el ecosistema de código abierto que Red Hat representa. También se reconoció a las empresas ganadoras de los Red Hat Ecosystem Innovation Awards 2026, que premian excelencia en IA, virtualización y automatización entre socios del ecosistema. Para los administradores de sistemas en Costa Rica que trabajan con infraestructura VMware —especialmente en el sector bancario (BCR, BAC, Scotiabank), que tiene contratos de virtualización activos—, la migración a OpenShift no es automática: requiere reentrenamiento de personal y una evaluación de compatibilidad de las cargas de trabajo existentes.
Veinte mil ingenieros de IBM y Red Hat evaluarán y certificarán componentes open source empresariales a escala, usando IA para identificar vulnerabilidades y garantizar la cadena de suministro de software.
IBM y Red Hat anunciaron Project Lightwell, una iniciativa de $5.000 millones respaldada por 20.000 ingenieros diseñada para funcionar como un clearinghouse de seguridad impulsado por IA para software open source empresarial. El proyecto se propone evaluar, certificar y mantener componentes open source a una escala que los procesos de revisión manual no pueden alcanzar, según Red Hat Blog y Techzine. El anuncio se realizó en la semana del 5 de junio. Project Lightwell es en parte una respuesta a la creciente preocupación sobre la cadena de suministro de software (software supply chain): el ataque a xz-utils de 2024, que comprometió una dependencia crítica del sistema de autenticación SSH de Linux, demostró que incluso proyectos centrales y bien mantenidos pueden ser infiltrados. La escala del proyecto —$5.000 millones, 20.000 ingenieros— apunta a que IBM considera este problema como una oportunidad de mercado y no solo como un riesgo reputacional. El ángulo contrario: algunos contribuidores de la comunidad open source expresaron preocupación en GitHub Discussions de que un proceso de certificación controlado por IBM/Red Hat podría crear un gatekeeper privado sobre infraestructura que es por definición pública. La Fundación Linux no ha comentado oficialmente al cierre de esta edición. Para Costa Rica, donde múltiples startups y agencias públicas usan stacks de código abierto sin certificación formal, Project Lightwell podría generar eventualmente una presión hacia la adopción de componentes «certificados Lightwell» como estándar de procurement.
La primera semana de junio de 2026 pone sobre la mesa el problema estructural de seguridad en el kernel Linux: cuatro vulnerabilidades de escalada de privilegios descubiertas o confirmadas en un lapso de 35 días —Copy Fail (mayo 1), Dirty Frag (mayo 7), Fragnesia (mayo 14) y CVE-2022-0492 en el KEV de CISA (junio 2)— con fechas de parche escalonadas que crean ventanas de exposición en producción. El anuncio de Project Lightwell ($5.000 millones de IBM/Red Hat) es la respuesta más concreta a ese problema en años, pero también la más centralizada: delegar la certificación de software open source en un actor privado tiene costos de gobernanza que la comunidad todavía está evaluando. El debate real de la semana no es solo técnico; es sobre quién debe ser responsable de la seguridad del software del que depende toda la infraestructura digital global.