Am 23. September 2024 hat Proxmox eine Sicherheitswarnung zu Schwachstellen in der Proxmox VE und Proxmox Mail Gateway API veröffentlicht. Authentifizierte Angreifer mit den Rechten ‚Sys.Audit‘ oder ‚VM.Monitor‘ konnten über die API beliebige Host-Dateien herunterladen. Die Schwachstellen wurden von Snyks Security Labs identifiziert und betrafen mehrere Proxmox-Komponenten, darunter pve-manager, libpve-storage-perl, libpve-http-server-perl und pmg-api.
Die Schwachstellen wurden erstmals in Version 3.2-1 von libpve-http-server-perl (Proxmox VE/Proxmox Mail Gateway 6) eingeführt.
Fixes: Die behobenen Versionen sind ab dem 23. September 2024 verfügbar:
- Proxmox VE 8:
pve-manager >= 8.2.7,libpve-http-server-perl >= 5.1.1 - Proxmox Mail Gateway 8:
pmg-api >= 8.1.4,libpve-http-server-perl >= 5.1.1 - Proxmox VE 7:
pve-manager >= 7.4-19,libpve-http-server-perl >= 4.3.0 - Proxmox Mail Gateway 7:
pmg-api >= 7.3-12,libpve-http-server-perl >= 4.3.0
Proxmox-Nutzer sollten die aktualisierten Pakete umgehend installieren, um die Schwachstellen zu beheben. Weitere Informationen und Patches sind in den Proxmox-Repositories verfügbar.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: