Se han descubierto múltiples vulnerabilidades de severidad alta en el kernel de Linux que afectan a Ubuntu. Un actor malicioso con acceso local podría escalar privilegios, acceder a memoria sensible del kernel o comprometer sistemas virtualizados.
Productos afectados
- Ubuntu 14.04 LTS
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-40114: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de validación de límites de matriz. Un actor malicioso local con privilegios bajos podría acceder a memoria fuera de los límites definidos.
CVE-2025-22020: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad en el kernel de Linux que podría permitir a un actor malicioso con acceso local provocar caídas del sistema o ejecutar código arbitrario.
CVE-2025-38352: con una puntuación de 7.4 en CVSS v3.1. Existe una condición de carrera entre las funciones handle_posix_cpu_timers() y posix_cpu_timer_del() en la implementación de temporizadores POSIX CPU. Un actor malicioso con acceso local podría explotar esta vulnerabilidad para escalar privilegios o causar denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-40114
- https://www.cve.org/CVERecord?id=CVE-2025-22020
- https://www.cve.org/CVERecord?id=CVE-2025-38352
- https://ubuntu.com/security/notices/USN-7835-1
- https://ubuntu.com/security/notices/USN-7861-1