Dos fallas críticas de escalamiento a root golpean el kernel la misma semana en que se confirma que la inteligencia artificial de Anthropic pasó por alto una de ellas. KDE Plasma cierra su serie 6.6, un desarrollador clave de LLVM regresa al kernel y kernel.org sigue reconstruyendo su archivo público tras un borrado accidental.
El investigador Jaeyoung Chung documentó una condición de carrera en el subsistema epoll del kernel que permite a cualquier usuario local llegar a root con hasta 99% de éxito.
El investigador de seguridad Jaeyoung Chung publicó a inicios de julio de 2026 la primera investigación técnica pública sobre CVE-2026-46242 —bautizada Bad Epoll—, una vulnerabilidad de uso de memoria después de liberada (use-after-free) en el subsistema epoll del kernel Linux que permite a un usuario local sin privilegios especiales escalar a root con una tasa de éxito reportada del 99%, según recogió The Hacker News. El fallo afecta a los kernels 6.4 en adelante —no a la serie 6.1 o anterior—, lo que incluye servidores y escritorios Linux además de dispositivos Android, cuyo planificador de eventos también se apoya en epoll. El parche que corrige el error llegó al árbol principal del kernel el 24 de abril de 2026, pero permaneció sin anunciar durante 70 días antes de que la investigación de Chung lo hiciera público, según documentó Threat-Modeling.com. La falla convive con otra vulnerabilidad en el mismo tramo de código de epoll, CVE-2026-43074: Mythos, el modelo de investigación en seguridad de Anthropic, sí detectó esa segunda falla a comienzos de 2026, pero pasó por alto Bad Epoll, que llevaba sin corregir desde una refactorización de 2023, según reportó Notebookcheck. El hallazgo llega apenas dos semanas después de que la Fundación Linux presentara Akrites —el proyecto de respuesta a vulnerabilidades impulsado por 20 empresas, entre ellas Anthropic— con la promesa de usar herramientas automatizadas para adelantarse a fallas como esta; que la propia IA de uno de sus fundadores revisara ese código y no viera el problema matiza esa promesa con datos concretos. Ubuntu 24.04 LTS distribuye un kernel con el parche desde el 5 de julio, pero Debian bookworm y Red Hat Enterprise Linux 9 no lo habían aplicado a esa fecha, según el rastreo de vulnerabilidades de Ubuntu y Debian. Las empresas costarricenses de desarrollo de software que operan servidores propios o instancias en la nube sobre Ubuntu 24.04 deberían confirmar que el kernel en ejecución —no solo el paquete instalado— incluye la corrección, porque un sistema sin reiniciar sigue expuesto aunque el paquete ya esté actualizado.
El investigador Hyunwoo Kim divulgó el 6 de julio una falla de gestión de memoria en KVM que permite a una máquina virtual maliciosa ejecutar código como root en el servidor anfitrión.
El investigador de seguridad Hyunwoo Kim divulgó públicamente el 6 de julio de 2026 Januscape (CVE-2026-53359), una condición de carrera en el código de gestión de memoria de KVM para procesadores x86 que confunde el número de marco de página asignado a una máquina virtual invitada, según reportó The Hacker News. El error, presente desde 2010, afecta tanto a sistemas Intel con VMX/EPT como AMD con SVM/NPT, y permite que una máquina virtual maliciosa ejecute código con privilegios de root directamente sobre el kernel del servidor anfitrión. La corrección requiere dos parches acoplados —el commit 81ccda30b4e8, que cierra el escape, y su acompañante 0cb2af2ea66a, registrado como CVE-2026-46113, que corrige el error de numeración de marcos que hace posible la confusión—; un sistema que solo aplique el primero de los dos sigue expuesto, según documentó SecurityWeek. En configuraciones donde el dispositivo /dev/kvm es accesible para cualquier usuario del sistema —el valor por defecto desde Red Hat Enterprise Linux 8 en adelante—, un usuario local sin privilegios puede disparar el mismo error directamente contra el anfitrión sin necesidad de controlar una máquina virtual completa. Que un fallo de 16 años sobreviviera sin detectarse en el corazón de la virtualización de Linux —la base técnica de buena parte de la nube pública— contradice la idea de que el código más antiguo y más revisado del kernel es también el más confiable. El parche llegó a los kernels estables 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 y 5.10.260 el 4 de julio, según el rastreo de CloudLinux, pero en el foro oficial de Proxmox los administradores reportaban esta semana confusión sobre cuál de los dos parches acoplados habían aplicado realmente sus paquetes. Proveedores costarricenses de hosting y nube que operan sobre KVM o Proxmox deberían confirmar con su distribución que ambos commits —no solo el primero— están presentes antes de considerar el servidor protegido.
Un error de configuración cometido al incorporar un nuevo servidor espejo primario a la infraestructura de kernel.org vació el árbol /pub del sitio —el repositorio oficial de código fuente del kernel Linux— la noche del 2 de julio de 2026, según confirmó la Fundación Linux en un aviso publicado a las 14:21 UTC de ese día y recogido por LWN.net. El fallo se propagó a varios servidores espejo secundarios que sincronizaron automáticamente el vacío del servidor primario roto, y usuarios que intentaban descargar código fuente del kernel reportaron enlaces que llevaban años funcionando devolviendo errores HTTP 404 y 403, según documentó Noise.getoto.net. La Fundación Linux insistió en que ningún dato se perdió de forma permanente —solo copias de espejos públicos— y que la restauración ya estaba en marcha, con una actualización a las 06:23 UTC del 3 de julio que estimaba unas 12 horas más para completar el proceso: "los borrados son rápidos y las restauraciones son lentas", señaló el equipo en su aviso, según recogió Pbxscience. El incidente expone una tensión que rara vez se discute en público: la infraestructura que distribuye el código fuente de un proyecto que corre buena parte de la nube mundial depende de un puñado de servidores espejo administrados con los mismos riesgos operativos —humanos, manuales, propensos al error— de cualquier otra infraestructura crítica, pese a la narrativa de resiliencia descentralizada que suele acompañar al software libre. Al cierre de esta edición no hay una confirmación pública posterior de que el árbol /pub haya vuelto por completo a su estado anterior al 2 de julio; la última actualización verificable data del 3 de julio. Empresas costarricenses que automatizan compilaciones o descargas de imágenes de kernel directamente desde kernel.org en sus canalizaciones de integración continua pudieron notar interrupciones esa semana; la práctica de usar espejos regionales o cachés locales de paquetes, en lugar de tirar siempre del árbol /pub original, reduce ese tipo de riesgo operativo.
El proyecto KDE publicó el 2 de julio de 2026 Plasma 6.6.6, la última actualización de mantenimiento de la serie 6.6 antes de que la rama 6.7 la releve como serie estable, según el changelog oficial en kde.org. La corrección de mayor relevancia en seguridad protege al proceso auxiliar ksystemstats_intel_helper contra un ataque de recorrido de rutas (path traversal), y endurece el widget del Gestor de Tareas frente a archivos .desktop manipulados que podían hacerse pasar por aplicaciones legítimas, según documentó Linuxiac. La actualización llega como el último parche planeado para la serie 6.6 —KDE la etiquetó como el cierre de esa rama antes de concentrar el desarrollo en Plasma 6.7— e incluye además correcciones de estabilidad en KWin, el compositor de ventanas, entre ellas fallos al despertar la laptop con la tapa cerrada y una gestión más confiable de la selección de texto bajo Xwayland, de acuerdo con LinuxCompatible. El endurecimiento contra archivos .desktop maliciosos responde a una clase de vector de ataque conocida en escritorios Linux —hacer pasar un ejecutable arbitrario por un acceso directo de aplicación— que KDE ya había parchado parcialmente en versiones anteriores. KDE no publicó una calificación de severidad tipo CVSS para la falla de recorrido de rutas, y la información de este parche proviene principalmente de la nota oficial del proyecto y de coberturas derivadas de ella, sin una investigación de seguridad independiente publicada al cierre de esta edición. Los usuarios de Fedora KDE Spin, openSUSE y Kubuntu en Costa Rica reciben esta actualización a través de sus respectivos gestores de paquetes en los próximos días, según el calendario habitual de cada distribución tras un lanzamiento de KDE.
El ingeniero Nick Desaulniers volvió a aparecer el 7 de julio de 2026 en la lista de correo del kernel Linux con un parche que actualiza el archivo MAINTAINERS y anuncia, con un mensaje que cita la película Terminator, su regreso al mantenimiento del soporte de compilación con LLVM y Clang: "Estoy de vuelta. Volveré. Poseeré tu cuerpo y haré arder la lista de correo del kernel", escribió, según recogió Phoronix, medio que reportó en exclusiva este regreso sin cobertura cruzada verificada de otro medio al cierre de esta edición. El parche ya fue recogido por Linus Torvalds e incorporado al árbol de git de Linux 7.2. Desaulniers fue uno de los desarrolladores originales del proyecto Clang-Built Linux, el esfuerzo que llevó a que el kernel pudiera compilarse con LLVM/Clang como alternativa a GCC —hoy la opción de compilación por defecto de Android y de los propios servidores de Google— hasta que dejó Google en febrero de 2025 para incorporarse a Tesla, momento en el que sus contribuciones al kernel se detuvieron casi por completo. Su regreso llega en un momento en que el mantenimiento de LLVM dentro del kernel había quedado con menos ojos activos revisando parches, aunque el proyecto nunca se quedó formalmente sin mantenedores. Desaulniers no detalló en su parche a qué empresa se incorpora ahora ni si retoma el rol de mantenedor formal o solo el de colaborador activo; el archivo MAINTAINERS actualizado únicamente restituye su nombre a la lista de revisores de LLVM/Clang. Para la comunidad de software libre costarricense el episodio no tiene impacto directo, pero ilustra algo relevante para cualquier estudiante de la UCR o el TEC que aspire a mantener código del kernel: la salida y el regreso de un mantenedor activo se documentan en un simple parche a un archivo de texto, sin ceremonia corporativa de por medio.
cat /feed/kernelnotatcnica.md
> El ciclo de desarrollo de Linux 7.3, que arrancó apenas días atrás, ya suma dos retiros de hardware obsoleto: IBM confirmó el 7 de julio de 2026 el retiro del driver EHEA, uno de los primeros controladores de red de 10 Gigabit Ethernet del kernel, calificado como una reliquia de hardware POWER en desuso, según reportó Phoronix. En paralelo, el kernel continúa la limpieza de controladores ISA y PCMCIA de bajísima velocidad iniciada en ciclos anteriores, con la retirada de soporte para tarjetas de red ARCnet de los años noventa.
> La limpieza forma parte de una tendencia que se aceleró desde Linux 7.1, cuando Torvalds fusionó una eliminación de 138.000 líneas de código correspondientes a ISDN, radioaficionados y otros drivers de red antiguos, según documentó The Register. Los mantenedores han señalado que una motivación adicional es reducir la superficie de código que hoy generan reportes de fallas automatizados por herramientas de IA y fuzzers sobre hardware que virtualmente nadie ejecuta ya en producción —el mismo problema de ruido que llevó a Linus Torvalds a calificar la lista de seguridad del kernel de "inmanejable" en mayo.
> Ningún fabricante o distribuidor costarricense reporta uso activo de hardware ARCnet o tarjetas EHEA de IBM en producción, por lo que el impacto local de estos retiros es prácticamente nulo; el interés de la nota está en lo que revela sobre cómo el kernel prioriza su tiempo de mantenimiento frente al volumen de reportes automatizados.
El ingeniero de AMD Alex Deucher, mantenedor del driver gráfico AMDGPU para Linux, envió a inicios de julio de 2026 un conjunto de 30 parches dirigidos a eliminar el uso de la macro BUG() en gran parte del código del controlador, según reportó Phoronix, único medio que cubrió el envío al cierre de esta edición. BUG() detiene por completo la ejecución del kernel y vuelca información de depuración cuando el driver detecta una condición que considera irrecuperable; Deucher está revisando caso por caso cuáles de esos puntos de parada realmente ameritan tumbar todo el sistema. En la mayoría de los casos revisados, el controlador puede recuperarse de la condición sin forzar un pánico total del kernel: Deucher redujo varias llamadas a BUG() a simples advertencias (warnings) o mensajes de error que permiten que el sistema siga operando. La motivación de fondo es doble: menos caídas totales del sistema por errores menores del driver gráfico, y menos superficie que un atacante pueda usar para forzar una denegación de servicio invocando deliberadamente una de esas condiciones de BUG(). El cambio todavía está en revisión y no tiene fecha confirmada de fusión al árbol principal del kernel; cuando llegue, beneficiará de forma directa a cualquier equipo con tarjetas gráficas AMD Radeon que corra Linux, incluidos los laboratorios de cómputo y estudios de animación y renderizado costarricenses que usan hardware Radeon por su soporte de código abierto maduro frente a las alternativas propietarias de NVIDIA.
Ingenieros de Microsoft integraron a inicios de julio de 2026 en Mesa, la biblioteca gráfica de código abierto que usan los drivers de video en Linux, un prototipo de codificación de video AV1 acelerada por hardware que combina DirectX 12 y la capa Hardware Media Foundation Transform (HMFT) de Windows, según reportó Phoronix. El código, pensado para mejorar el rendimiento de aplicaciones Linux que corren dentro del Subsistema de Windows para Linux (WSL), ya está fusionado y se espera que aparezca en el lanzamiento de Mesa 26.2. El aporte tiende un puente donde una aplicación Linux dentro de WSL puede solicitar codificación AV1 acelerada y Mesa reenvía esa solicitud a la capa nativa de Media Foundation y DirectX 12 de Windows, según describió Neowin. La contribución todavía es un prototipo limitado a fotogramas tipo I y P, sin las técnicas de compresión avanzada ni los fotogramas B que sí ofrecen implementaciones maduras de codificadores AV1 en hardware dedicado, de acuerdo con Windows Report. El gesto llama la atención por venir de la misma empresa que en 2001, por boca de su entonces director ejecutivo Steve Ballmer, calificó a Linux de "cáncer"; dos décadas y media después, Microsoft escribe código para el mismo ecosistema gráfico que antes trataba como amenaza existencial. El beneficio práctico de este parche llega primero a desarrolladores que usan WSL para correr herramientas Linux de edición o codificación de video sobre Windows, un perfil frecuente entre estudios de producción audiovisual y freelancers costarricenses que trabajan con clientes que exigen entornos corporativos Windows; el impacto sobre servidores Linux nativos sin relación con WSL es nulo, ya que el prototipo depende por completo de la capa de Windows subyacente.