Search

AlmaLinux publica parche de emergencia para ‘Copy Fail’ en repositorios de pruebas

El equipo de AlmaLinux ha publicado parches de emergencia para la vulnerabilidad crítica Copy Fail (CVE-2026-31431), dirigidos a todas las versiones activas de la distribución (8, 9 y 10, así como para Kitten 10), aunque con una particularidad esencial: estas correcciones residen en el repositorio de pruebas (testing), un destino que ninguna persona responsable recomendaría habilitar en equipos de producción.

⚠️ La vulnerabilidad que exige una respuesta extraordinaria

Copy Fail es un fallo de escalada de privilegios local descubierto por el equipo de Xint Code y divulgado públicamente el 29 de abril de 2026. Se trata de un error lógico en el subsistema criptográfico del núcleo de Linux, específicamente en la authencesn encadenada a través de AF_ALG y la llamada al sistema splice().

El código de explotación funcional ocupa solo 732 bytes y, según los propios investigadores, funciona sin modificación alguna en todas las distribuciones principales construidas desde 2017. El fallo permaneció latente durante casi una década, desde que se introdujo con la confirmación de cambios 72548b093ee3 en 2017 hasta que el parche upstream (confirmación a664bf3d603d) se confirmó en el núcleo principal el 1 de abril de 2026.

Para quienes administren sistemas en entornos compartidos, granjas de construcción de contenedores o ejecutores de integración continua donde usuarios sin nivel de confianza razonable puedan obtener un intérprete de mandatos, esta vulnerabilidad representa un nivel de riesgo inasumible.

📦 La iniciativa de AlmaLinux

Ante la ausencia de parches por parte de Red Hat, el comité directivo técnico ALESCo aprobó una decisión extraordinaria: construir y distribuir paquetes del núcleo con el parche upstream antes de que estén disponibles en CentOS Stream o RHEL.

Las versiones de los núcleos de Linux corregidos son:

Versión de AlmaLinux
Versión del núcleo parcheado

AlmaLinux 8
kernel-4.18.0-553.121.1.el8_10 o superior

AlmaLinux 9
kernel-5.14.0-611.49.2.el9_7 o superior

AlmaLinux 10
kernel-6.12.0-124.52.2.el10_1 o superior

Kitten 10
kernel-6.12.0-225.el10 o superior

Nota sobre Kitten 10: Al tratarse de una versión de desarrollo, Kitten 10 recibe el parche directamente en su repositorio principal, sin necesidad de habilitar el repositorio de pruebas.

🔧 Procedimiento de actualización (únicamente durante el periodo de pruebas)

Para quienes dispongan de entornos de prueba y deseen colaborar con la verificación de los paquetes, el procedimiento es el siguiente:

dnf install -y almalinux-release-testing
dnf update kernel* –enablerepo=almalinux-testing
reboot

Tras el reinicio, es posible verificar la versión del núcleo activo con:

uname -r

El equipo de AlmaLinux recomienda explícitamente evitar mantener habilitado el repositorio de pruebas después de actualizar, a menos que se haya hecho en un entorno genuinamente de pruebas.

🤔 El dilema de los repositorios de pruebas en producción

Aquí reside la cuestión principal. Los repositorios de pruebas están concebidos para detección temprana de errores, pero resultan inadecuados para la estabilidad de entornos productivos, a menos que se disfrute revirtiendo paquetes rotos a las tres de la madrugada, como bien se ha señalado en la comunidad.

La propia documentación de AlmaLinux advierte que el repositorio de pruebas se recomienda exclusivamente para equipos