Se ha detectado una vulnerabilidad que afecta a varias distribuciones de Linux, incluyendo Ubuntu. Esta vulnerabilidad, descubierta por Qualys, reside en rapport, el gestor de volcados de memoria de Ubuntu (CVE-2025-5054), y en systemd-coredump, utilizado en Red Hat Enterprise Linux, Fedora y otras distribuciones (CVE-2025-4598).
La vulnerabilidad permite a un atacante local con permisos para crear espacios de nombres de usuario filtrar volcados de memoria de procesos ejecutables suid. Aunque su puntuación CVSS es de 4.7 (gravedad MEDIA) y requiere acceso local y alta complejidad de ataque, el impacto se limita a la confidencialidad del espacio de memoria de los ejecutables suid invocados.
La prueba de concepto desarrollada por Qualys ha demostrado que es posible filtrar contraseñas de usuario hasheadas, aunque su impacto en el mundo real es limitado.
¿Qué es Apport y por qué es importante actualizar?
Apport es una herramienta que se encarga de gestionar los informes de errores en Ubuntu. Cuando una aplicación falla, apport recoge información sobre el error y la pone a disposición del usuario para que pueda enviarla a los desarrolladores. Esta información puede incluir volcados de memoria (core dumps), que son copias del estado de la memoria de la aplicación en el momento del fallo.
La vulnerabilidad detectada permite a un atacante, bajo ciertas circunstancias, acceder a estos volcados de memoria, que podrían contener información sensible como contraseñas o claves de cifrado. Por lo tanto, es crucial actualizar apport para proteger tu sistema.
Cómo funciona el exploit
Qualys descubrió que, al analizar los fallos de las aplicaciones, apport intenta detectar si el proceso que falla se está ejecutando dentro de un contenedor antes de realizar comprobaciones de consistencia. Si un atacante local logra inducir un fallo en un proceso con privilegios y lo reemplaza rápidamente con otro con el mismo ID de proceso que reside dentro de un espacio de nombres de montaje y PID, apport intentará reenviar el volcado de memoria (que podría contener información sensible del proceso original con privilegios) al espacio de nombres.
Para llevar a cabo el exploit con éxito, un atacante debe tener permisos para crear espacios de nombres de usuario, montaje y PID con capacidades completas.
¿Qué versiones de Ubuntu están afectadas?
Todas las versiones de Ubuntu con soporte y algunas versiones EOL están afectadas. Aquí tienes una lista de las versiones y los paquetes actualizados:
- Xenial (16.04):
apport2.20.1-0ubuntu2.30+esm5 - Bionic (18.04):
apport2.20.9-0ubuntu7.29+esm1 - Focal (20.04):
apport2.20.11-0ubuntu27.28 - Jammy (22.04):
apport2.20.11-0ubuntu82.7 - Noble (24.04):
apport2.28.1-0ubuntu3.6 - Oracular (24.10):
apport2.30.0-0ubuntu4.3 - Plucky (25.04):
apport2.32.0-0ubuntu5.1
¿Cómo saber si mi sistema está afectado?
Para comprobar si tu sistema está afectado, ejecuta el siguiente comando en la terminal y compara la versión listada con la tabla anterior:
apt list --installed | grep "^apport"Cómo solucionar la vulnerabilidad
La solución más sencilla es actualizar todos los paquetes del sistema:
sudo apt update && sudo apt upgradeSi no es posible actualizar todos los paquetes, puedes actualizar solo el componente afectado:
# en focal y versiones más recientes:
sudo apt update && sudo apt install --only-upgrade apport python3-apport
# en xenial y bionic:
sudo apt update && sudo apt install --only-upgrade apport python3-apport python-apportLa funcionalidad de actualizaciones automáticas está habilitada por defecto en Ubuntu 16.04 LTS y posteriores. Si tienes esta opción activada, los parches se aplicarán automáticamente en un plazo de 24 horas.