Vi trodde att Linux var ett "skyddat" operativsystem: en sårbarhet har precis skakat nästan alla dess versioner
Linux har ett rykte som ett robust system. Inte osårbar, naturligtvis, men särskilt motståndskraftig, till den grad att ha blivit en av de tysta baserna för Internet, företagsservrar och många miljöer där säkerhet är en del av kontraktet. Det är därför en sårbarhet som CopyFail är särskilt allvarlig: vi pratar inte om ett mindre fel i en isolerad applikation, utan snarare ett problem i kärnan som kan tillåta någon som redan kör kod med få behörigheter att hamna i root-åtkomst.
CopyFail. Sårbarheten, identifierad som CVE-2026-31431, kom fram när företaget Theori offentliggjorde detaljerna om felet och exploateringskoden efter att ha meddelat Linux-kärnsäkerhetsteamet fem veckor tidigare. Den tidsnyansen är viktig eftersom kärnan redan hade fått patchar i flera grenar, från 7.0 till 5.10.254.
Vad som inte hade hänt ännu, åtminstone på ett allmänt sätt, var dess effektiva överföring till många Linux-distributioner. Vad pratar vi om? CopyFail är en lokal privilegieskalering.
Det betyder inte att vem som helst helt enkelt kan attackera en Linux-maskin utifrån, utan snarare att någon som redan kan köra kod inne i systemet med begränsade behörigheter, till exempel från ett vanligt konto, en komprometterad webbtjänst, en container eller ett CI/CD-jobb, kan försöka eskalera till root. På Linux är root kontot med full administrativ kontroll. Det är därför risken inte ligger i den första entrédörren, utan i det som händer strax efter: begränsad åtkomst kan bli systemkontroll.
En alltför pålitlig exploatering.
Det finns ett annat element som förklarar larmet. Många kärnsårbarheter beror på mycket specifika villkor för att fungera, såsom minneskorruption som kan variera beroende på version, distribution eller till och med maskin. CopyFail är baserat på ett logiskt fel i kärnans kryptografiska API, och det förändrar terrängen.
Bugcrowd-forskare förklarar att eftersom det är ett logiskt fel, så beror exploateringen inte på sådana specifika interna inställningar, en funktion som minskar friktionen för angripare och komplicerar försvararnas arbete. I Engadget hade nätfiske redan överväldigat oss genom digitala kanaler: nu börjar det komma via fysiska bokstäver The patch. Fallet lämnar också en lektion om hur sårbarheter i Linux samordnas.
Som nämnts ovan rapporterade Theori felet till kärnsäkerhetsteamet fem veckor innan det släpptes offentligt. Problemet är att för de flesta användare kommer korrigeringar inte direkt, utan snarare genom distributioner som paketerar, testar och släpper sina egna patchar eller begränsningar. När utnyttjandet blev offentligt hade den processen ännu inte avslutats i många distributioner eller versioner, vilket lämnade ett exponeringsfönster som var svårt att ignorera.
Nuvarande situation. Under dagarna har en del av ekosystemet börjat täppa till klyftan, men inte på ett enhetligt sätt. Vid tidpunkten för publiceringen av denna artikel hade distributioner som Debian, Arch, Fedora, SUSE och Amazon Linux redan publicerat patchar eller råd för vissa grenar, medan Ubuntu insisterade på att uppdatera systemet och tillämpa begränsningar om den fixade kärnan ännu inte var tillgänglig eller inte hade laddats efter en omstart.
Bilder | Xataka med nanobanan i Xataka | Europeiska centralbanken har tagit en titt på Mythos och fattat ett beslut: förbered dig för det värsta scenariot
Originalkälla
Publicerad av Xataka
6 maj 2026, 23:51
Denna artikel har översatts automatiskt från spanska. Klicka på länken ovan för att läsa originaltexten.
Visa originaltext (spanska)
Rubrik
Pensábamos que Linux era un sistema operativo “blindado”: una vulnerabilidad acaba de sacudir casi todas sus versiones
Beskrivning
Linux tiene fama de sistema robusto. No invulnerable, claro, pero sí especialmente resistente, hasta el punto de haberse convertido en una de las bases silenciosas de Internet, de los servidores empresariales y de muchos entornos donde la seguridad es parte del contrato. Por eso una vulnerabilidad como CopyFail resulta especialmente seria: no hablamos de un fallo menor en una aplicación aislada, sino de un problema en el kernel que puede permitir que alguien que ya ejecuta código con pocos permisos acabe obteniendo acceso root. CopyFail. La vulnerabilidad, identificada como CVE-2026-31431, salió a la luz cuando la firma Theori hizo públicos los detalles del fallo y el código de explotación tras haber avisado cinco semanas antes al equipo de seguridad del kernel de Linux. Ese matiz temporal es importante porque el kernel ya había recibido parches en varias ramas, desde 7.0 hasta 5.10.254. Lo que no había ocurrido todavía, al menos de forma generalizada, era su traslado efectivo a muchas distribuciones Linux. De qué estamos hablando. CopyFail es una escalada local de privilegios. No significa que cualquiera pueda atacar desde fuera una máquina Linux sin más, sino que alguien que ya puede ejecutar código dentro del sistema con permisos limitados, por ejemplo desde una cuenta normal, un servicio web comprometido, un contenedor o un trabajo de CI/CD, puede intentar escalar hasta root. En Linux, root es la cuenta con control administrativo completo. Por eso el riesgo no está en la primera puerta de entrada, sino en lo que ocurre justo después: un acceso acotado puede convertirse en control del sistema. {"videoId":"x801azu","autoplay":false,"title":"Cómo PROTEGER tu ANDROID de VIRUS y MALWARE: Trucos y consejos", "tag":"", "duration":"271"} Un exploit demasiado fiable. Hay otro elemento que explica la alarma. Muchas vulnerabilidades del kernel dependen de condiciones muy concretas para funcionar, como una corrupción de memoria que puede variar según la versión, la distribución o incluso la máquina. CopyFail parte de un fallo lógico en la API criptográfica del kernel, y eso cambia el terreno. Los investigadores de Bugcrowd explican que al tratarse de un fallo lógico, el exploit no depende de ajustes internos tan específicos, un rasgo que reduce la fricción para los atacantes y complica el trabajo de los defensores. En Xataka El phishing ya nos había desbordado por los canales digitales: ahora está empezando a llegar por cartas físicas El parche. El caso también deja una lección sobre cómo se coordinan las vulnerabilidades en Linux. Como mencionamos arriba, Theori comunicó el fallo al equipo de seguridad del kernel cinco semanas antes de darlo a conocer públicamente. El problema es que, para la mayoría de los usuarios, las correcciones no llegan directamente, sino a través de distribuciones que empaquetan, prueban y publican sus propios parches o mitigaciones. Cuando el exploit se hizo público, ese proceso aún no había terminado en muchas distribuciones o versiones, dejando una ventana de exposición difícil de ignorar. Situación actual. Con los días, parte del ecosistema ha empezado a cerrar la brecha, pero no de una forma uniforme. Al momento de publicar este artículo, distribuciones como Debian, Arch, Fedora, SUSE y Amazon Linux ya habían publicado parches o avisos para determinadas ramas, mientras que Ubuntu insistía en actualizar el sistema y aplicar mitigaciones si el kernel corregido aún no estaba disponible o no se había cargado tras un reinicio. Imágenes | Xataka con Nano Banana En Xataka | El Banco Central Europeo le ha echado un vistazo a Mythos y ha tomado una decisión: prepararse para el peor de los escenarios (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Pensábamos que Linux era un sistema operativo “blindado”: una vulnerabilidad acaba de sacudir casi todas sus versiones fue publicada originalmente en Xataka por Javier Marquez .
