El popular software de código abierto Samba, encargado de conectar sistemas Linux con las redes y directorios de Windows, acaba de recibir una actualización de emergencia. Los equipos de desarrollo han lanzado las versiones 4.24.3, 4.23.8 y 4.22.10 para poner fin a una serie de problemas de seguridad bastante serios. En total, se han corregido seis vulnerabilidades críticas, y lo más preocupante es que dos de ellas permitían a un atacante, sin necesidad de tener usuario o contraseña, tomar el control del servidor a distancia.

Además de estos problemas principales, la actualización también arregla fallos que permitían saltarse permisos de solo lectura, sobrescribir archivos protegidos y bloquear servicios clave de la red con un simple paquete de datos trucado.

El peligro del comodín en las contraseñas

El primero de los fallos graves (identificado como CVE-2026-4408) afecta directamente a cómo Samba revisa las contraseñas. El problema está en el servicio SAMR, que es el encargado de administrar las bases de datos de usuarios y grupos. Esta vulnerabilidad impacta a los servidores clásicos que usan un comando especial en su configuración (check password script) y le añaden el comodín %u para que el sistema sepa de qué usuario se trata.

La falla ocurre porque el sistema tomaba el nombre de usuario y lo metía directo en el comando sin revisarlo ni limpiar caracteres especiales. Esto significa que un atacante podía inventarse un nombre de usuario que contuviera instrucciones ocultas del sistema y, al intentar verificar la contraseña, el servidor ejecutaba esos comandos sin darse cuenta. Mientras se instala el parche, los administradores pueden esquivar el problema usando una variable de entorno en lugar del comodín %u en sus archivos de configuración.

Trabajos de impresión que abren puertas traseras

El segundo agujero de seguridad crítico (CVE-2026-4480) funciona de una manera muy similar, pero ataca a través del sistema de impresión de Samba. En este caso, el responsable es el comodín %J, que se utiliza en las configuraciones de impresión para pasar la descripción o el título del documento que se va a imprimir. Al igual que con las contraseñas, el sistema no filtraba correctamente los caracteres extraños.

Esto abría la puerta para que alguien enviara un trabajo de impresión con un título malicioso lleno de comandos de sistema. Como las redes suelen permitir que los invitados manden archivos a imprimir por defecto, un atacante remoto ni siquiera necesitaba una cuenta válida para lanzar el ataque y lograr ejecutar código en el servidor. La solución temporal rápida, si no puedes actualizar de inmediato, es quitar el comodín %J de la configuración de impresión.

Más correcciones para la red

Además de los dos grandes sustos, estas nuevas versiones tapan otros cuatro agujeros importantes para mantener la red segura y estable:

• Protección de archivos WORM (CVE-2026-2340): El módulo diseñado para que los archivos se escriban una sola vez y no se puedan modificar (Write-Once, Read Many) tenía un fallo. Permitía que alguien sobrescribiera un archivo protegido simplemente cambiándole el nombre a un archivo nuevo y poniéndolo encima del viejo.
• Ataques de denegación de servicio (CVE-2026-3238): Se arregló un error en el servidor WINS de los controladores de dominio de Active Directory. Antes, bastaba con enviarle un paquete de red UDP alterado para que el servicio colapsara por completo.
• Saltos de permisos (CVE-2026-1933): Se corrigió un problema donde los usuarios podían borrar o alterar ciertos atributos especiales de los archivos (los puntos de reanálisis) incluso en carpetas que estaban marcadas como de «solo lectura».
• Certificados inseguros (CVE-2026-3012): El sistema confiaba en conexiones HTTP sin cifrar para instalar cadenas de certificados, a pesar de tener canales más seguros disponibles, lo que podía facilitar ataques de interceptación en la red.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Cómo instalar o actualizar a Samba en Ubuntu y derivados?

Si estás interesado en instalar la nueva versión de Samba o si ya cuentas con Samba instalado y quieres actualizar tu versión anterior a esta nueva, puedes hacerlo siguiendo los pasos que compartimos a continuación.

Para instalar o actualizar Samba en Ubuntu y sus derivados a la última versión disponible, puedes seguir estos pasos:

Abre una terminal, esto puedes hacerlo buscando «Terminal» en el menú de aplicaciones o usando el atajo Ctrl + Alt + T. Con ello vamos a añadir el repositorio. Como los paquetes oficiales pueden no estar actualizados inmediatamente, utilizaremos un repositorio PPA que contiene la versión más reciente de Samba:

sudo add-apt-repository ppa:linux-schools/samba-latest

Actualizar la lista de repositorios:

sudo apt-get update

Instalar o actualizar Samba

Si ya tienes Samba instalado, este comando actualizará tu versión actual. Si no, instalará Samba por primera vez:

sudo apt install samba

Una vez que se haya completado la instalación, puedes verificar la versión de Samba instalada con el siguiente comando:

samba --version