Alcancelibre

29/05/2026

Acabo de subir otro ISO con actualizaciones acumuladas hasta hace unos minutos (ALDOS-1.4.21-x86_64-20260528.iso). Es el mismo ALDOS de siempre pero actualizado, si acostumbran actualizar el sistema con yum -y update && reboot, es innecesario descargar el ISO. Este lanzamiento es sólo para disponer de un ISO con un kernel que resuelva las vulnerabilidades de abril y mayo 2026. Habrá ALDOS 1.4.22 en unas semanas.

Send a message to learn more

12/05/2026

Un breve pase por Xfce 4.20, GNOME Shell 43 y Cinnamon 6.6 en el siguiente lanzamiento de ALDOS 1.4. Tema por defecto será Nordic-Polar (tema por Eliver Lara). Incluso las aplicaciones Gtk4/LibAdwaita se verán con el tema Nordic-Polar. Escritorio predeterminado seguirá siendo Xfce.

08/05/2026

Estoy preparando una mega actualización de ALDOS de glib2 2.76 a Glib2 2.84. Ésto me ha permitido actualizar a GNOME Shell 43 y otras aplicaciones que pedían Glib >= 2.78. Puede que demore varias semanas en publicar cambios porque estoy validando funcionamiento y que todo el software incluya los símbolos que deban (importa el orden de compilación). La primera fase involucraba actualizar/re-compilar todos los componentes básicos de Gtk+ y validar con GNOME Shell 43. Me tomó 15 días llegar a este punto. Siguen las fases de re-compilación y validación de Xfce, Cinnamon (actualizaré de 4.x a 5.x), MATE y LXDE. Probablemente me tome otras dos semanas.

02/05/2026

🛡️ cPanel/WHM: vulnerabilidad crítica permite acceso root sin autenticación

Una vulnerabilidad de severidad crítica (CVSS 9.8) ha sido descubierta en los paneles de control cPanel y WHM, dos de las herramientas de administración de servidores más empleadas en la industria del alojamiento web (se estima que gestionan cerca de 70 millones de dominios). El fallo, registrado como CVE-2026-41940, permite a un atacante remoto sin necesidad de credenciales eludir la pantalla de acceso y obtener control total del servidor afectado, incluyendo todos los sitios web, bases de datos, cuentas de correo electrónico y configuraciones alojadas en él. La situación resulta especialmente alarmante porque, además de un código de explotación funcional ya publicado en línea, hay evidencias de que la vulnerabilidad ha estado siendo explotada activamente como «día cero» desde, al menos, el pasado mes de febrero de 2026.
⚠️ El origen del problema (explicación sencilla)

El fallo se encuentra en un componente interno del software denominado cpsrvd, el servicio que gestiona las peticiones de acceso al panel. Los investigadores de watchTowr descubrieron que cuando un atacante realiza un intento fallido de inicio de sesión, el servicio crea un archivo temporal de sesión en la unidad de almacenamiento del servidor. Este archivo provisional contiene la información de la petición de acceso que acaba de producirse. El atacante puede manipular la información que se escribe en ese archivo aprovechando una técnica conocida como inyección de CRLF (Carriage Return Line Feed), que consiste en introducir caracteres especiales en el campo de la contraseña para romper la estructura del archivo. Esto le permite añadir líneas completamente nuevas al archivo, como instrucciones que le otorgan privilegios de superadministrador (user=root, hasroot=1), que el sistema después interpreta como auténticas y legítimas al recargar la sesión, otorgándole así acceso con todos los privilegios.

Analogía para comprenderlo mejor: imagine que al solicitar acceso a un edificio custodiado se genera un informe con sus datos (nombre, habitación a la que desea dirigirse y si la puerta de entrada principal se encuentra abierta o cerrada). Si descubre que puede añadir líneas adicionales a ese informe para hacer creer que es un alto directivo del lugar, el sistema de seguridad podría entonces permitirle el paso libremente sin hacer las comprobaciones habituales. Eso es precisamente lo que permite este fallo.
🌍 Un problema global y de urgente solución

La gravedad de la situación queda reflejada en las acciones emprendidas por múltiples actores del sector:

Grandes proveedores de alojamiento como Namecheap, HostGator y KnownHost han bloqueado temporalmente el acceso a los paneles de control de sus clientes para protegerlos mientras aplicaban los parches de emergencia. La empresa KnownHost confirmó haber detectado intentos de explotación en sus sistemas desde el pasado 23 de febrero de 2026.
Agencias gubernamentales de ciberseguridad de Canadá y Australia han emitido alertas urgentes confirmando la explotación activa y proactiva de la vulnerabilidad a escala mundial.
El fabricante —cPanel— ha publicado parches de emergencia y recomienda a todos los administradores actualizar sus sistemas de manera inmediata.

🛡️ Medidas de contingencia inmediatas (si le resulta imposible actualizar ahora mismo)

Si por alguna razón resulta imposible aplicar los parches de manera inmediata, el fabricante recomienda las siguientes medidas temporales para mitigar el riesgo:

Opción A (Recomendada): Bloquee el tráfico entrante hacia los puertos afectados en el muro cortafuegos. Los puertos específicos son:
2083 (acceso seguro a cPanel)
2087 (acceso seguro a WHM)
2095 (acceso a correo electrónico webmail)
2096 (acceso seguro a correo electrónico webmail)
Opción B (Más drástica): Detenga por completo los servicios web (cpsrvd y cpdavd):

whmapi1 configureservice service=cpsrvd enabled=0 moni

💭 Una visión personal: la alternativa a cPanel/WHM

Con la experiencia de casi 30 años administrando servidores Linux, siempre he mostrado rechazo hacia herramientas privativas como cPanel/WHM, al considerarlas interfaces diseñadas para administradores con un bajo nivel técnico, que sacrifican la seguridad por una falsa comodidad. Este prejuicio personal se confirma una vez más con la aparición de este tipo de vulnerabilidades, que permiten que cualquier atacante —sin tener un nivel de conocimientos muy avanzado— pueda hacerse con el control total de un servidor.

La situación se vuelve aún más delicada si un mismo sistema es vulnerable a la vez a Copy Fail (CVE-2026‑31431) y a esta vulnerabilidad de cPanel, como probablemente sea el caso de muchos servidores. Se trataría de una pesadilla sin paliativos: un fallo en el núcleo que permite la escalada local de privilegios (Copy Fail) y una puerta trasera para acceder remotamente al panel de administración como si se tuviera la llave maestra (CVE-2026‑41940), convirtiendo al sistema en un blanco fácil.

Una alternativa sólida y de fuente abierta que siempre recomendamos es la combinación de Webmin + Virtualmin. Se trata de un software de administración con todas las funcionalidades necesarias, que ofrece un control más granular sobre la seguridad y que carece, por filosofía de diseño, de este tipo de falacias que comprometen la seguridad del sistema.
📢 Reflexión final y llamado a la acción

La combinación de un código de explotación público, su explotación activa en el mundo real y el enorme número de sistemas expuestos (se estima que cerca de millón y medio de instancias de cPanel son accesibles desde Internet) configura un escenario de alto riesgo. La ventana de oportunidad para que delincuentes informáticos tomen el control de miles de servidores está abierta y es la puerta de entrada para perpetrar otras actividades maliciosas a mayor escala.

Por favor, evite ser el próximo en sufrir las consecuencias. Actúe hoy mismo.

02/05/2026

Ya se publicaron paquetes de kernel para 8, 9 y 10 que corrigen vulnerabilidad de (CVE-2026-31431).

dnf -y --refresh update && reboot

Send a message to learn more

01/05/2026

🛡️ Copy Fail: cuando la gloria académica prevalece sobre la seguridad del mundo real (una reflexión necesaria).

Durante la madrugada del 29 de abril de 2026, mientras los administradores de sistemas y los equipos de seguridad dormían, los investigadores de Theori/Xint decidieron encender una cerilla en un depósito de gasolina digital. Publicaron la existencia de CVE-2026-31431 (Copy Fail), pero además el código de explotación funcional completo, de tan solo 732 bytes, un guion de instrucciones que permite a cualquier usuario local sin privilegios convertirse en root en prácticamente cualquier distribución Linux lanzada desde 2017.

Nueve años. El fallo se introdujo en 2017 (confirmación de cambios 72548b093ee3) y permaneció oculto durante casi una década. El parche se comprometió en el núcleo principal el 1 de abril de 2026. A partir de ahí, la cronología se vuelve turbia. El CVE se asignó el 22 de abril. Poco después, alguien tomó una decisión que carece por completo de ética profesional en el ámbito de la seguridad informática.

⏰ El cronómetro juega en contra de los administradores

El 29 de abril todo estalló con la divulgación pública. El más mínimo sentido común dicta la concesión de un plazo de embargo prudencial –90 días es lo habitual, a veces más– para que todas las partes implicadas preparen y publiquen actualizaciones reales para sus usuarios. Pero los investigadores de Theori seguramente priorizaron consideraciones comerciales (a fin de cuentas deseaban promocionar su escáner «Xint Code») o la inmediatez de la notoriedad, y emprendieron la divulgación sin dar tregua a nadie.

¿El resultado? Una ventana de vulnerabilidad innecesaria para millones de sistemas en todo el mundo. Como ha señalado Will Dormann (), miembro de renombre en la comunidad de seguridad: «No puedo entender cómo ocurre ésto. En todos mis años en seguridad o estás a bordo de la divulgación coordinada de vulnerabilidades o lanzas un 0-day. Esto encaja de manera extraña en medio. O bien estos chicos de Xint Code tienen una agenda oculta o son realmente malos en la divulgación coordinada».

Pocas objeciones caben a ese análisis.

🌍 El mapa mundial de los parches: un desierto

Mientras usted lee esto, la situación resulta desoladora. Carece de correcciones oficiales para la gran mayoría de las distribuciones principales. El CERT de la Unión Europea (CERT‑EU) lo confirma sin ambages: «A fecha de hoy (30 de abril de 2026), ninguna distribución ha enviado un paquete de núcleo corregido. El parche principal se confirmó el 1 de abril de 2026, pero las actualizaciones de los proveedores siguen pendientes en todas las grandes distribuciones».

Ubuntu, Amazon Linux 2023, SUSE Linux Enterprise: ninguno dispone de una solución oficial. Y lo que resulta más preocupante, Red Hat Enterprise Linux (y por tanto AlmaLinux, Rocky Linux y otros derivados) se encuentran en un estado incierto. La página oficial del CVE de Red Hat está operativa, pero carece de rastro de actualizaciones disponibles. La última actualización del núcleo de AlmaLinux data del 21 de abril de 2026… y corregía otros CVEs (CVE‑2025‑68741 y CVE‑2026‑23191), pero aún sin incluir corrección para Copy Fail. Los servidores de AlmaLinux de esta organización –y de la suya propia, si gestiona alguno– siguen tan expuestos hoy como lo estaban hace una semana.

Dicho de otra manera: existe una vulnerabilidad que permite la escalada de privilegios locales completa con un código de explotación ya disponible y ninguna defensa real para la mayoría de los sistemas que ejecutan cargas de trabajo en producción. La recomendación oficial de CERT‑EU: inhabilitar el módulo algif_aead como medida temporal. Una medida que, por cierto, resulta inútil en las distribuciones RHEL (y por tanto AlmaLinux, Rocky…), porque el código vulnerable está integrado directamente en el núcleo y carece de la posibilidad de desactivarse (vmlinux). Para estos casos, la única mitigación posible consiste en filtrar AF_ALG mediante seccomp y systemd (con RestrictAddressFamilies=~AF_ALG, por ejemplo). O sea, una auténtica y compleja solución emergente, lejos de una solución elegante.

🤔 ¿Qué tipo de divulgación es ésta?

Lo que más indigna dista de ser el descubrimiento de una vulnerabilidad –porque esa labor se agradece–. Lo que resulta intolerable es publicar el código de explotación y una página web reluciente (copy.fail) antes de que las distribuciones tengan tiempo siquiera de preparar una actualización.

Los investigadores podrían haber optado por:

Registrar el fallo ante el equipo de seguridad del núcleo de Linux, lo que ya han hecho –y bien–.
Conceder un plazo de al menos 30, 60 o 90 días para que todas las distribuciones empaqueten y prueben sus parches.
Publicar de forma progresiva la información: primero el aviso, más tarde el código (o mejor aún, evitar publicar el código y limitarse a la descripción técnica).
Establecer una fecha de divulgación consensuada que diera tiempo a los administradores del mundo real para implementar las mitigaciones.

En lugar de esto, Theori optó por la vía rápida. Tal vez para promocionar su escáner Xint, tal vez por pura desconfianza en que el equipo de seguridad del núcleo reaccionara a tiempo. Sea como fuere, han puesto en riesgo real a miles de organizaciones que ahora se debaten entre mantener expuestos sus servidores o aplicar remedios de emergencia que ni siquiera son efectivos en todos los entornos. expresaba hace escasas fechas una opinión similar en redes sociales: «Muchos han criticado la falta de coordinación y el riesgo innecesario para los usuarios finales».

🔮 Reflexión final: ¿quién es el responsable?

En la cadena de la seguridad, existen muchos eslabones: el descubridor, los mantenedores del núcleo, los equipos de las distribuciones, los administradores de sistemas y, finalmente, los usuarios.

Aquellos investigadores que, como Theori, tienen la oportunidad de hacerlo bien y eligen el camino del espectáculo y la notoriedad, cargan con una buena parte de la responsabilidad cuando las explotaciones comienzan a circular en la naturaleza y los sistemas caen.

La divulgación coordinada de vulnerabilidades carece de ser un estorbo burocrático: es un mecanismo de protección. Quienes lo obvian demuestran, cuando menos, una alarmante falta de ética profesional o una peligrosa desconexión con la realidad de los sistemas que dicen ayudar a proteger.

📌 En resumen:

La vulnerabilidad es extremadamente grave: permite a cualquier usuario local convertirse en root con un guion de instrucciones de 732 bytes.
El código de explotación ya está disponible.
La mayoría de las distribuciones aún carecen de parche oficial.
AlmaLinux (y por tanto RHEL y derivados) carecen de solución disponible y la mitigación por módulo resulta inútil.
Los investigadores han priorizado el lucimiento personal sobre la seguridad de los usuarios.
Le corresponde a usted, administrador, revisar sus sistemas, aplicar la limitación de acceso a AF_ALG y preparar copias de seguridad… hasta que llegue la actualización que nunca debió demorarse.

18/02/2026

Está disponible ALDOS 1.4.21 (ALDOS-1.4.21-x86_64-20260218.iso). Este lanzamiento incorpora mejoras relevantes y nuevas funcionalidades en una imagen viva actualizada al 18 de febrero de 2026. Como es costumbre, los usuarios de ALDOS que actualizan su sistema periódicamente probablemente ya estén utilizando esta versión, ya que ALDOS es una distribución Linux de lanzamiento continuo (rolling release). La nueva imagen ISO está destinada principalmente a nuevas instalaciones. Enlaces para descarga en el sitio de Internet de AlcanceLibre.

28/01/2026

Con mucha alegría, les comparto que un laboratorio de cómputo de la UAM Azcapotzalco está utilizando :-)

26/01/2026

3.2.4 ejecutando desde el escritorio de 4.20 en

08/01/2026

El creador de DOOM dijo algo que debería molestar a mucha más gente de la que molesta: si el software estuviera realmente optimizado, mucho hardware antiguo seguiría funcionando.

Esto no es nostalgia, ni nostalgia por un viejo programador quejándose del presente. Es un hallazgo técnico. DOOM funcionaba en máquinas extremadamente limitadas porque el código se escribía obsesionado con la eficiencia. Cada ciclo de CPU importaba. Cada acceso a la memoria estaba pensado. No había margen para desperdicio porque el hardware simplemente no lo permitía. Hemos

avanzado décadas en potencia computacional. Tenemos procesadores absurdamente rápidos, GPUs gigantescas, memoria abundante. Aun así, las tareas simples hoy consumen más recursos que los juegos completos de los 90. Editores de texto engorrosos, aplicaciones básicas que usan cientos de megabytes de RAM, sistemas enteros ralentizados no por limitaciones físicas sino por demasiadas capas, abstracciones mal resueltas y falta de preocupación real por el rendimiento.

Gran parte de la obsolescencia actual es no técnica. Es económico. Es más fácil impulsar la bolsa de hardware que invertir tiempo, dinero y talento en escribir mejor software. Los frameworks crecen, las dependencias se acumulan y la eficiencia deja de ser un valor fundamental. El resultado es un enorme desperdicio de energía, dinero y potencia de cálculo.

Esto no significa negar avances reales. Hay áreas en las que el hardware nuevo es indispensable.

Inteligencia artificial, simulaciones científicas, renderizado complejo, investigación de vanguardia. Pero esto no justifica el estado actual del software común y cotidiano. No tiene sentido que un ordenador antiguo se vuelva "inútil" solo porque el software moderno se ha construido sin comprometer la eficiencia.

Cuando la eficiencia deja de ser una prioridad, no son las grandes empresas las que pagan la factura. Es el usuario común quien necesita cambiar de máquina. Es el medio ambiente, con más residuos electrónicos. Es la sociedad la que naturaliza los residuos como si fueran progreso.

Quizá el problema nunca fue la falta de potencia de cálculo. Quizá sea la supervisión, la comodidad y un modelo de mercado que premia el volumen, no la calidad.

La eficiencia sigue importando. Ya no es conveniente para quienes se benefician de la obsolescencia.