'Dirty Frag' expone vulnerabilidades de escalada local de root en kernels 6.x-7.1; KDE Plasma 6.7.1 y Firefox 152.0.2 llegan con correcciones.
Linus Torvalds anunció esta mañana la apertura de la ventana de fusión del kernel Linux 7.2, el período de dos semanas durante el cual los mantenedores de los subsistemas integran sus cambios al árbol principal. La ventana arranca con más de 12.000 parches en cola, según el repositorio de Torvalds en kernel.org. El hito técnico más celebrado es la eliminación completa de `strncpy()` del código del kernel, un proceso que comenzó en 2020 con el primer parche de Kees Cook, el mantenedor de seguridad del kernel, y que requirió 362 commits distribuidos en seis años para reemplazar todos los usos de la función con alternativas más seguras (`strtomem()`, `strscpy()`, `memcpy()` según el caso). `strncpy()` tiene el defecto de no garantizar la terminación nula del string de destino en ciertos casos, lo que históricamente ha generado vulnerabilidades de lectura fuera de límites. Otras incorporaciones notables en la ventana incluyen el soporte inicial para chips RISC-V con extensión de hipervisor, mejoras en el subsistema de energía para laptops con Intel Lunar Lake, y la graduación a estable del driver para el controlador USB-C Thunderbolt 5 de Intel.
— Linus Torvalds abrió el 28 de junio el merge window con más de 12.000 parches en cola; la eliminación de strncpy() es el hito técnico más celebrado por la comunidad.
Las vulnerabilidades CVE-2026-43284 y CVE-2026-43500 permiten a un usuario local escalar privilegios hasta root mediante manipulación del subsistema de fragmentación de memoria.
Investigadores de Qualys publicaron esta semana el análisis técnico completo de dos vulnerabilidades en el subsistema de gestión de fragmentación de páginas de memoria del kernel Linux, denominadas colectivamente 'Dirty Frag'. Los CVE-2026-43284 y CVE-2026-43500 permiten a un proceso local sin privilegios provocar una condición de carrera en el código de manejo de páginas compartidas y escalar sus privilegios hasta root en un tiempo promedio de 7 minutos en las pruebas de Qualys. Las vulnerabilidades afectan a los kernels 6.1 LTS, 6.6 LTS, 6.12 LTS y las versiones 7.0 y 7.1 en configuraciones con `CONFIG_KSM=y` (Kernel Samepage Merging), activo por defecto en la mayoría de distribuciones que usan KVM. Linux 6.18 y 7.1.2 incluyen los parches. Debian, Ubuntu, CloudLinux y Arch Linux publicaron actualizaciones de seguridad en las últimas 48 horas. Los administradores de sistemas deben actualizar el kernel inmediatamente o, como mitigación temporal, ejecutar `echo 0 > /sys/kernel/mm/ksm/run` para deshabilitar KSM. Los usuarios de Costa Rica que administran servidores basados en Ubuntu LTS 24.04 o Debian 12 en infraestructura compartida deben priorizar este parche.
Greg Kroah-Hartman, mantenedor de los kernels estables de Linux, publicó el viernes tres nuevas versiones: Linux 7.1.2 con 89 correcciones incluyendo los parches de Dirty Frag, Linux 7.0.14 marcado como la última versión de esa rama (EOL, fin de vida), y Linux 6.18.37 con 124 correcciones para los sistemas que usan la rama 6.18 LTS. La marca de EOL para Linux 7.0 significa que los sistemas que usan esa versión no recibirán más actualizaciones de seguridad de los mantenedores del kernel upstream. Las distribuciones que empaquetan 7.0 —en su mayoría distros rolling release como Arch o Gentoo— ya migraron a 7.1; el impacto es mayor para compilaciones personalizadas en entornos embebidos. Para administradores de sistemas basados en Debian 13 (actualmente en beta), el kernel recomendado es 6.12 LTS, que tiene soporte garantizado hasta 2028. La migración a kernels 7.x en Debian estable no está programada hasta Debian 14.
La comunidad KDE publicó el 23 de junio KDE Plasma 6.7.1, una versión de mantenimiento que cierra 31 bugs reportados desde el lanzamiento de 6.7.0 en mayo. Las correcciones más significativas afectan al entorno Wayland: se resolvió una regresión que causaba que las aplicaciones GTK4 perdieran la configuración de escala DPI al cambiar entre monitores de diferente densidad de píxeles, y se corrigió un crash en kwin_wayland al cerrar ventanas con decoraciones personalizadas activas. Discover, el gestor de software de Plasma, recibió correcciones para un problema que impedía actualizar paquetes Flatpak cuando el repositorio principal tenía una llave GPG expirada —situación que generó tickets masivos en distribuciones basadas en KDE tras una actualización de clave de Flathub en mayo. Para usuarios de Kubuntu 26.04 y OpenSUSE Tumbleweed en Costa Rica —distros de adopción creciente en la comunidad local de Linux según el foro Ubuntu Costa Rica— la actualización llega vía los canales normales de paquetes en las próximas 48-72 horas.
Mozilla publicó el 23 de junio Firefox 152.0.2, un hotfix que cierra dos regresiones graves introducidas en la versión 152.0 del mismo día: una fuga de memoria en el motor de renderizado PDF.js que causaba que el uso de RAM se disparara al abrir documentos PDF de más de 100 páginas, y un problema en la capa de compatibilidad con extensiones Manifest V3 que impedía que algunas extensiones populares de bloqueo de anuncios actualizaran sus filtros. El ciclo de respuesta de menos de 72 horas fue destacado en Hacker News y en la comunidad de Firefox: Google tardó más de una semana en publicar el parche equivalente para una regresión similar en Chrome 126. Mozilla atribuyó la velocidad a su sistema de telemetría que detectó automáticamente el pico de consumo de RAM en la población de usuarios en las horas posteriores al lanzamiento. Firefox mantiene su participación de mercado alrededor del 4,1% global según StatCounter, pero tiene una adopción desproporcionadamente alta entre usuarios técnicos y la comunidad Linux. En Costa Rica, el uso de Firefox en sistemas Linux es del 61% según el análisis de StatCounter para el segmento de escritorio Linux en el país.
Flock to Fedora 2026, la conferencia anual de la comunidad Fedora, se celebró esta semana en Praga con más de 400 asistentes presenciales y 2.000 virtuales. El tema central fue Fedora Atomic —el conjunto de variantes basadas en OSTree e inmutabilidad: Fedora Silverblue, Kinoite y CoreOS— que la comunidad posiciona como el modelo de distribución del futuro para escritorios y servidores. La sesión más comentada fue la propuesta de Matthew Miller de evaluar alternativas a systemd como init para configuraciones de contenedores ultraligeros, donde el overhead de systemd resulta innecesario. La propuesta generó debate intenso: defensores de systemd argumentan que la compatibilidad del ecosistema ya no permite una alternativa viable en distribuciones generalistas; los críticos señalan que s6 y dinit son opciones maduras que merecen más atención. Fedora Costa Rica, la comunidad local afiliada, transmitió dos sesiones en vivo y organizó un meetup en San José el jueves con once asistentes.
«No estamos migrando al init de systemd porque esté roto; lo hacemos porque el ecosistema lo permitió y el ecosistema lo pide.» — Matthew Miller, líder del proyecto Fedora, en Flock 2026.
El equipo de publicación de Debian anunció el inicio del «freeze» de Debian 13, nombre en clave Trixie: a partir de esta semana, solo se integran al árbol de testing correcciones de bugs críticos y de seguridad, sin nuevas versiones de paquetes. El congelamiento es la señal de que el lanzamiento está próximo; el equipo estima agosto de 2026 como fecha objetivo aunque sin compromiso firme. Debian 13 vendrá con Linux 6.12 LTS como kernel predeterminado, Python 3.13, GCC 14.3, GNOME 48 y KDE Plasma 6.3. Es también la primera versión estable de Debian en incluir soporte nativo para imágenes de disco `squashfs` firmadas con Secure Boot, facilitando la instalación en hardware moderno con UEFI restrictivo. La llegada de Debian 13 estable tiene impacto directo para los administradores de sistemas en Costa Rica que usan Debian como base de sus servidores —práctica común en organizaciones públicas y cooperativas de tecnología— ya que el ciclo de soporte del lanzamiento alcanza hasta 2030 con LTS.