Canonical, en su ambicioso esfuerzo por reemplazar el legendario paquete GNU Coreutils con su contraparte escrita en Rust, conocida como uutils coreutils, ha hecho públicos los resultados de una auditoría de seguridad independiente.

Esta auditoria realizada por Zellic, ha sacado a la luz un total de 113 fallos de seguridad que amenazaban la integridad del sistema. La publicación de este informe demuestra que reescribir herramientas críticas en un lenguaje moderno y estructuralmente seguro no elimina mágicamente los errores de lógica humana, especialmente cuando se trata de utilidades fundamentales que operan rutinariamente con altos privilegios administrativos.

Auditoría independiente a uutils coreutils revela 113 fallos de seguridad

El análisis del código se ejecutó en dos fases intensivas para garantizar la máxima cobertura sobre las herramientas del sistema:

La primera ronda de evaluación, llevada a cabo entre diciembre de 2025 y Enero de 2026, se enfocó de lleno en las utilidades de mayor prioridad y riesgo operativo, desenterrando 63 vulnerabilidades. De estas, 7 fueron catalogadas como críticas y 11 como altamente peligrosas.

La segunda fase, culminada en marzo, añadió 40 fallos adicionales al registro de depuración. Aunque Ubuntu había integrado rust-coreutils por defecto en la versión 25.10 para forzar pruebas de estrés en el mundo real, la gravedad de los hallazgos ha obligado a los desarrolladores a tomar una decisión conservadora para su inminente versión LTS. Para garantizar la estabilidad de Ubuntu 26.04 , los comandos de manipulación directa de archivos más delicados, como cp, mv y rm, han sido revertidos a sus equivalentes clásicos de GNU debido a múltiples condiciones de carrera pendientes de corrección, mientras que el equipo proyecta una migración total y segura hacia el código en Rust para la futura versión 26.10.

Fallos críticos en la gestión de permisos y procesos

Las vulnerabilidades catalogadas como críticas en el informe de Zellic exponen fallos lógicos  y sumamente peligrosos que podrían comprometer por completo un servidor. Uno de los casos más alarmantes reside en la utilidad chroot, donde un atacante podría inyectar código malicioso aprovechando el sistema de resolución de nombres del sistema.

Al invocar la opción de especificación de usuario, el código carga las bibliotecas del Name Service Switch (NSS) desde el nuevo directorio root antes de renunciar a los privilegios de administrador, permitiendo la ejecución de binarios arbitrarios si el usuario tiene permisos de escritura en esa ubicación específica.

Igualmente destructivo resulta un fallo de análisis de argumentos en el comando kill, el cual interpreta erróneamente la orden de enviar la señal uno como si se tratara de un identificador de proceso negativo. Esta confusión provoca que la utilidad envíe una señal de terminación absoluta a todos los procesos visibles, desencadenando un colapso total e inmediato del equipo.

Por su parte, la herramienta mkfifo exhibió un comportamiento errático al intentar crear pipelines con nombre sobre archivos ya existentes; en lugar de abortar la operación, el comando altera arbitrariamente los permisos del archivo a una lectura global, exponiendo datos potencialmente sensibles a cualquier usuario de la red.

Evasión de bloqueos y la amenaza de las condiciones de carrera

El manejo de rutas y la protección contra la eliminación accidental del núcleo del sistema también sufrieron reveses importantes durante las pruebas. La barrera de seguridad diseñada para evitar la destrucción del directorio root fue evadida rutinariamente en utilidades como chmod y rm debido a que el código verificaba únicamente la coincidencia de la cadena de texto exacta en lugar de realizar una resolución canónica profunda de la ruta del archivo.

Esto permitía a los atacantes sortear los bloqueos y aplicar cambios recursivos devastadores utilizando simples enlaces simbólicos o retrocesos de directorio. Peor aún, el comando rm permitía el uso de abreviaturas informales y peligrosas para desactivar la protección del directorio root, una permisividad estrictamente prohibida en el rígido ecosistema GNU, abriendo la puerta a borrados masivos accidentales al teclear comandos apresurados o al ejecutar limpiezas silenciosas del directorio actual.

Gran parte de estos conflictos, así como las debilidades críticas detectadas en las herramientas de copiado y movimiento de archivos, pertenecen a la categoría de vulnerabilidades de tiempo de comprobación a tiempo de uso, conocidas técnicamente en la industria como TOCTOU.

Estas peligrosas condiciones de carrera permiten a un programa malicioso o a un atacante veloz sustituir un archivo legítimo por un enlace simbólico en la mínima fracción de segundo que transcurre entre que el sistema verifica los permisos y ejecuta la copia final. Al utilizar utilidades afectadas en rutinas de mantenimiento automatizadas, estas brechas otorgan el poder de sobrescribir información crítica del sistema eludiendo cualquier restricción de seguridad previa.

Finalmente, si estas interesado en poder conocer mas al respecto, puedes consultar los detalles en el siguiente enlace.