n8n Sicherheitswarnung: Kritische RCE-Lücke (CVSS 9.9) gefährdet Instanzen

Sicherheitsexperten von Orca Security haben eine hochkritische Schwachstelle in der populären Workflow-Automatisierungsplattform n8n aufgedeckt. Die Lücke ermöglicht es Angreifern, aus der Ferne Code auf dem zugrunde liegenden Server auszuführen – und das ohne gültige Zugangsdaten.

Die Gefahr: Remote Code Execution (RCE)

Mit einem CVSS-Score von 9.9 wird die Lücke als extrem kritisch eingestuft. Das Problem liegt in der Art und Weise, wie bestimmte Anfragen vom Server verarbeitet werden. Ein erfolgreicher Angriff gibt dem Eindringling potenziell die volle Kontrolle über die Automatisierungsumgebung und alle darin gespeicherten Zugangsdaten (Credentials) für Drittsysteme.

Wer ist betroffen?

Betroffen sind vor allem Self-hosted-Instanzen von n8n. Nutzer der n8n-Cloud müssen in der Regel nicht selbst aktiv werden, da das n8n-Team Patches dort zentral einspielt. Dennoch sollten alle Administratoren sicherstellen, dass sie auf der neuesten Version laufen.

Empfohlene Maßnahmen

  1. Sofortiges Update: Installiere umgehend das neueste Docker-Image bzw. npm-Paket von n8n. Die Entwickler haben bereits Sicherheitsupdates veröffentlicht, die diese Lücke schließen.

  2. Zugriffsbeschränkung: Überprüfe, ob deine n8n-Instanz wirklich öffentlich erreichbar sein muss. Die Nutzung hinter einem Reverse Proxy mit zusätzlicher Authentifizierung oder via VPN reduziert die Angriffsfläche massiv.

  3. Credential-Check: Solltest du Anzeichen einer Kompromittierung finden, müssen alle in n8n hinterlegten API-Keys und Passwörter als unsicher betrachtet und ausgetauscht werden.

Fazit

Diese Schwachstelle zeigt erneut, wie wichtig ein schnelles Patch-Management bei Self-hosted-Software ist. Da n8n oft als „Spinne im Netz“ Zugriff auf zahlreiche Unternehmensdaten hat, ist die Absicherung dieser Instanz von höchster Priorität.

Parrot OS 7.0 „Lory“ Release: Das ultimative OS für Cybersecurity

Die Entwickler hinter Parrot OS haben die Version 7.0 (Codename „Lory“) veröffentlicht. Basierend auf der soliden Grundlage von Debian 13 „Trixie“, bringt dieses Major-Update signifikante Verbesserungen in Sachen Stabilität, Tool-Vielfalt und Hardware-Kompatibilität.

Die Highlights von Parrot OS 7.0

Parrot OS hat sich über die Jahre als ernstzunehmende Alternative zu Kali Linux etabliert, insbesondere durch den Fokus auf eine Kombination aus Sicherheitstools und einer nutzerfreundlichen Desktop-Umgebung.

1. Umstieg auf Debian 13 (Trixie)

Der Wechsel auf die Basis von Debian 13 sorgt dafür, dass Nutzer Zugriff auf wesentlich aktuellere Software-Pakete und Bibliotheken haben. Dies verbessert nicht nur die Sicherheit des Systems selbst, sondern auch die Zuverlässigkeit der installierten Security-Tools.

2. Kernel 6.12 für moderne Hardware

Mit dem Linux Kernel 6.12 bietet Parrot 7.0 eine exzellente Unterstützung für neueste Prozessoren, Grafikkarten und Wi-Fi-Adapter. Das ist besonders wichtig für mobile Workstations und Laptops, die im Feld für Audits eingesetzt werden.

3. Aktualisierte Tool-Suiten

Von Nmap über Metasploit bis hin zu spezialisierten Forensik-Tools – das gesamte Arsenal wurde aktualisiert. Die Entwickler haben zudem die Integration der Tools in die Shell weiter verfeinert, um Arbeitsabläufe zu beschleunigen.

4. Editionen für jeden Bedarf

Wie gewohnt erscheint Parrot 7.0 in verschiedenen Editionen:

  • Security Edition: Vollgepackt mit Tools für Penetration Tests.

  • Home Edition: Ein schlankes, sicheres System für den täglichen Gebrauch.

  • Architect/Cloud: Für maßgeschneiderte Installationen und Server-Umgebungen.

Fazit: Ein Pflicht-Update

Für bestehende Nutzer ist das Upgrade auf Version 7.0 ein Muss. Wer eine performante, stabile und optisch ansprechende Linux-Distribution für Sicherheitsanalysen sucht, kommt an Parrot OS 7.0 nicht vorbei.

Offizielle Release-News: Cybersecurity News – Parrot 7.0

Kali Linux 2025.4

Das Kali-Team beendet das Jahr mit einem Paukenschlag und der Veröffentlichung von Kali Linux 2025.4. Dieses Update ist nicht nur ein Routine-Rollup, sondern bringt einige grundlegende architektonische Änderungen mit sich, die für alle Pentester und Sicherheitsexperten relevant sind.

Die Key-Highlights dieses Releases:

  1. Desktop-Revolution: Großes Update für alle Umgebungen! GNOME 49 (mit Entfernung der X11-Session), KDE Plasma 6.5 und neue Farbthemen für Xfce.

  2. Wayland als Standard: Die volle Unterstützung der VM Guest Utilities (Zwischenablage, Fensterskalierung) für Wayland ist jetzt in VirtualBox, VMware und QEMU gewährleistet.

  3. Neue Tools & Kernel: Wie immer gibt es neue Werkzeuge in den Repositories, darunter bpf-linker, evil-winrm-py und hexstrike-ai. Der Kernel wurde auf 6.16 aktualisiert.

  4. Kali NetHunter: Das NetHunter-Update unterstützt nun Android 16 (LineageOS 23) auf vielen Samsung-Geräten sowie das reaktivierte NetHunter Terminal.

  5. Live-Image nur via Torrent: Wegen der stetig wachsenden Größe wird das Live-Image ab sofort nur noch über BitTorrent verteilt, um die CDN-Bandbreitenlimits nicht zu sprengen.

Die Umstellung auf Wayland und die aktualisierten Desktop-Umgebungen sorgen für ein moderneres, schnelleres und stabileres Arbeitsumfeld für Penetrationstests. Zeit für ein Update!

👉 Details & Download: Schauen Sie in die offiziellen Release Notes für alle Details und Download-Links!

https://www.kali.org/blog/kali-linux-2025-4-release/

Notepad++

Ein aktueller Vorfall rund um den beliebten Texteditor Notepad++ zeigt erneut, wie anfällig selbst vertrauenswürdige Tools für Angriffe sein können.

Was ist passiert?

Der Update-Mechanismus (der sogenannte Updater) des Editors wies eine Schwachstelle auf. Diese Anfälligkeit konnte von Angreifern ausgenutzt werden, um den Datenverkehr zu hijacken und manipulierte Dateien anstelle des offiziellen Updates auszuliefern. Die Folge: Statt eines harmlosen Updates wurde Malware auf den Systemen der Nutzer installiert.

Warum ist das ein Weckruf?

Dieser Vorfall ist ein Lehrbuchbeispiel für eine Supply Chain Attack, bei der nicht das Hauptprodukt selbst, sondern ein Bestandteil der Lieferkette (in diesem Fall der automatische Updater) kompromittiert wird. Administratoren und Power-User, die auf diese Tools vertrauen, sind dadurch direkt gefährdet.

Das Wichtigste für Nutzer und Unternehmen:

  1. Aktualisieren Sie sofort: Der Entwickler hat reagiert und die Sicherheitslücke in der Version Notepad++ 8.8.9 geschlossen, indem eine neue Signaturprüfung für Update-Dateien implementiert wurde.

  2. Verifizierung: Stellen Sie sicher, dass Sie immer die aktuellste, offizielle Version der Software nutzen.

  3. Lektion für die IT-Sicherheit: Vertrauen ist gut, Signaturprüfung ist besser. Das Beispiel zeigt, dass Zero-Trust-Prinzipien auch auf die Update-Mechanismen von Drittanbieter-Tools ausgeweitet werden müssen.

Teilen Sie diesen Beitrag, um Ihre Kollegen und Netzwerke über dieses wichtige Sicherheitsrisiko zu informieren!

AVM Fritzbox 8.21

AVM hat mit FRITZ!OS 8.21 ein wichtiges Wartungs-Update (Hotfix) für verschiedene FRITZ!Box-Modelle ausgerollt. Im Gegensatz zu großen Feature-Updates zielt diese Version darauf ab, kritische Stabilitätsprobleme zu beheben, die nach der Einführung von FRITZ!OS 8.20 aufgetreten sind.

Für Administratoren und IT-Verantwortliche ist die Installation dieses Hotfixes dringend angeraten, um die Netzwerkleistung und Zuverlässigkeit sicherzustellen.

Die wichtigsten Korrekturen von FRITZ!OS 8.21:

  • Behebung von IPv6-Interoperabilitätsproblemen: Insbesondere an einigen ADSL/DSL-Anschlüssen (oft im Zusammenhang mit der Deutschen Telekom) wurde ein Fehler in der IPv6-Kommunikation korrigiert, der zu instabilen Verbindungen führen konnte.

  • Stabilität für VPN und Repeater: Für Modelle wie die FRITZ!Box 6660 und 6591 Cable werden auch Korrekturen für WireGuard-Verbindungen (VPN) und die Netzwerkanzeige in der Mesh-Übersicht ausgerollt.

  • Allgemeine Systemstabilität: Das Update sorgt für eine verbesserte Gesamtstabilität des Routers.

Betroffene Modelle: Das Update wird schrittweise für verschiedene Modelle verteilt, darunter unter anderem die FRITZ!Box 7530, 7590, 6660 Cable und 6591 Cable.

Empfehlung: Prüfen Sie zeitnah über die Benutzeroberfläche Ihrer FRITZ!Box (System > Update) auf die Verfügbarkeit von FRITZ!OS 8.21, um Ihr Netzwerk optimal abzusichern.

ParrotOS

Das Parrot Security Team hat die Beta-Version von Parrot OS 7.0 veröffentlicht – und es bringt einige fundamentale Änderungen mit sich, die die Distro auf das nächste Level heben! Dies ist ein entscheidender Schritt zur Modernisierung und künftigen Ausrichtung der beliebten Penetration-Testing-Distribution.

Die wichtigsten Neuerungen im Überblick:

  1. Basis-Upgrade auf Debian 13 „Trixie“: Der Wechsel zur neuesten Debian-Version ist das Herzstück dieser Beta und sorgt für die dringend benötigte Modernisierung und Reduzierung technischer Schulden.

  2. Abschied von MATE, Willkommen KDE Plasma: In einer radikalen Design-Entscheidung wechselt Parrot OS standardmäßig zur KDE Plasma Desktop-Umgebung. Dies soll die Benutzerfreundlichkeit und Ästhetik verbessern und die Basis für zukünftige Designziele schaffen.

  3. Hunderte von Updates: Die Beta beinhaltet aktualisierte Pakete, Kernel und alle neuesten Tools für Red- und Blue-Team-Operationen.

  4. Neue Ziele: Die Veröffentlichung spiegelt Parrots Fokus auf eine zukunftssichere, stabile und konsistente Plattform für professionelle Cybersicherheit wider.

Die Beta ist eine großartige Gelegenheit, die neuen Funktionen und die KDE-Umgebung zu testen. Denken Sie daran: Es ist eine Vorabversion, die nicht für den Produktionseinsatz gedacht ist!

🔗 Wichtige Links & Downloads (64-bit):

Wer testet die neue Beta als Erster? Teilen Sie Ihre ersten Eindrücke!

Tiefgehende Analyse: Cloudflare-Ausfall am 05. Dezember 2025 – Ein Fallbeispiel für die Gefahr globaler Konfigurationen

Der 25-minütige Ausfall, der einen Teil des Cloudflare-Netzwerks traf und zu HTTP 500-Fehlern führte, war ein klassisches Beispiel dafür, wie selbst kleine Änderungen in kritischen Systemen weitreichende Folgen haben können.

Die Ursache im Detail:

  1. Gute Absicht als Auslöser: Cloudflare führte Konfigurationsanpassungen durch, um Kunden präventiv vor einer kritischen Sicherheitslücke in React Server Components (CVE-2025-55182) zu schützen.

  2. Der Killswitch-Fehler: Im Rahmen dieser Arbeiten sollte ein internes Test-Tool mit dem globalen Konfigurationssystem deaktiviert werden (ein sogenannter „Killswitch“). Dieses System propagiert Änderungen sofort und über das gesamte globale Netzwerk.

  3. Der verdeckte Bug: Der Fehler lag in der Art und Weise, wie dieser Killswitch auf eine Regel mit der internen Aktion "execute" im älteren FL1-Proxy wirkte. Der Code, geschrieben in Lua, konnte ein erwartetes Objekt nicht finden, was zu einem fatalen Laufzeitfehler (einem attempt to index field 'execute' (a nil value)) führte.

  4. Die Folge: Da der Fehler auf dem älteren Proxy auftrat, bekamen Kunden, die diese Architektur nutzten und die Managed Rulesets aktiviert hatten, plötzlich breitflächig HTTP 500-Fehler ausgeliefert.

Das Wichtigste für SRE- und DevOps-Teams:

  • Fehler in der Propagation: Der Vorfall unterstreicht das Risiko von globalen Konfigurationssystemen, die Änderungen sofort an das gesamte Netzwerk verteilen, ohne die Sicherheitsnetze eines schrittweisen Rollouts (gradual deployment).

  • Legacy-Code-Risiko: Der Bug hatte jahrelang unentdeckt im älteren Lua-Code gelauert. Dies zeigt, wie wichtig die Migration zu moderneren, typsicheren Architekturen (wie der neuen FL2-Proxy in Rust, der nicht betroffen war) ist.

Cloudflare hat angekündigt, die Widerstandsfähigkeit und die „Blast Mitigation“-Funktionen ihrer globalen Konfigurationssysteme massiv zu verbessern, um solche Vorfälle zukünftig zu verhindern.

PatchMon

Sicherheitsupdates und Paketaktualisierungen gehören zu den wichtigsten Aufgaben im Server- und Infrastrukturmanagement. Besonders im deutschsprachigen Raum – ob in KMU, Agenturen, IT-Dienstleistungsfirmen oder Rechenzentren – ist es entscheidend, jederzeit den Überblick über Update-Bedarfe zu behalten.
PatchMon bietet hierfür eine starke, moderne und selbst gehostete Lösung, um Linux-Hosts effizient zu überwachen und Patch-Stände transparent sichtbar zu machen.


Was ist PatchMon?

PatchMon ist ein Open-Source-Tool zur zentralen Überwachung von Paketupdates, Sicherheits-Patches und Repository-Status auf mehreren Linux-Servern gleichzeitig.
Mit einer klaren Weboberfläche, leichtgewichtigen Agenten und einer sicheren Architektur ermöglicht PatchMon ein effizientes Update-Monitoring für jede Größe von Infrastruktur – vom Homelab bis zum Enterprise-Cluster.

Download & Projektseite:
https://patchmon.net/
https://github.com/PatchMon/PatchMon


Die wichtigsten Funktionen und Vorteile

1. Zentrales Dashboard für alle Server

PatchMon bietet eine übersichtliche Oberfläche, die:

  • Hosts nach OS, Rolle oder Typ gruppiert

  • Paketlisten und Update-Bedarfe darstellt

  • Repository-Quellen und Host-Zustände transparent anzeigt

Damit behalten Administratoren jederzeit die vollständige Kontrolle.

2. Outbound-Agenten für maximale Sicherheit

Der PatchMon-Agent kommuniziert ausschließlich ausgehend mit dem Server.
Das bedeutet:

  • keine offenen Ports

  • geringere Angriffsfläche

  • ideal für sicherheitskritische Umgebungen

Ein klarer Vorteil für DACH-Unternehmen mit hohen Compliance-Anforderungen.

3. Überwachung von Paketen & Updates

PatchMon identifiziert:

  • veraltete Pakete

  • verfügbare Sicherheits-Updates

  • veränderte Repositories

  • Aktualisierungsbedarf pro Host

Perfekt für Administratoren, die Patch-Management strukturiert und kontrolliert durchführen möchten.

4. Benutzer- & Rollenverwaltung

Teams können PatchMon gemeinsam nutzen, dank:

  • Rollen (z. B. Admin, Operator, Read-Only)

  • Nutzerverwaltung

  • Zugriffskontrollen für verschiedene Bereiche

Damit eignet sich PatchMon sowohl für kleine Teams als auch für größere Firmen.

5. Schnelle Installation & flexible Nutzung

Ob als Docker-Container, native Installation oder Homelab-Deployment – PatchMon lässt sich schnell in Betrieb nehmen und wächst problemlos mit der Infrastruktur.


Warum PatchMon für den deutschsprachigen Markt relevant ist

  • Viele Unternehmen in Deutschland, Österreich und der Schweiz setzen auf Linux-Server – PatchMon erleichtert hier das Sicherheitsmanagement.

  • Managed-Service-Provider und Hosting-Firmen profitieren vom zentralen Patch-Monitoring über dutzende oder hunderte Hosts.

  • Die Open-Source-Lizenz ermöglicht auch KMU einen sicheren, transparenten Einsatz ohne Lizenzkosten.

  • Die Architektur ohne eingehende Ports erfüllt hohe Sicherheitsanforderungen und passt zu strengen IT-Policies.


Download & Ressourcen


Fazit: PatchMon bringt Übersicht und Sicherheit in Linux-Umgebungen

PatchMon ist ideal für alle, die zentrale Kontrolle über Updates, Patches und Paketstatus benötigen.
Es kombiniert Übersichtlichkeit, starke Sicherheit und einfache Bedienung – und eignet sich damit hervorragend für produktive Serverlandschaften und Homelabs gleichermaßen.

Bunkerweb

In der heutigen digitalen Welt ist die Sicherheit von Webanwendungen wichtiger denn je. Cyberangriffe, automatisierte Bots und Exploits entwickeln sich ständig weiter – umso entscheidender ist eine starke, flexible und einfach zu verwaltende Sicherheitslösung. Bunkerweb gehört zu den fortschrittlichsten Open-Source-WAF-Systemen und bietet effektiven Schutz für Websites, APIs und komplexe Webinfrastrukturen.

Wenn du nach einer leistungsfähigen, skalierbaren und leicht integrierbaren Web Application Firewall suchst, ist Bunkerweb eine ideale Wahl.


Was ist Bunkerweb?

Bunkerweb ist eine moderne Open-Source Web Application Firewall (WAF), die Webanwendungen zuverlässig vor gängigen Angriffen schützt. Das System kombiniert starke Sicherheitsmechanismen mit einfacher Bedienung und bietet sowohl Entwicklern als auch Administratoren maximale Kontrolle.

Projekt- und Downloadseite:
https://github.com/bunkerity/bunkerweb
https://www.bunkerweb.io/


Warum Bunkerweb? Die wichtigsten Vorteile im Überblick

1. Effektiver Schutz vor Cyberangriffen

Bunkerweb erkennt und blockiert automatisiert Angriffe wie:

  • SQL-Injections

  • Cross-Site-Scripting (XSS)

  • Brute-Force-Attacken

  • DDoS- und Bot-Traffic

Damit bietet es ein solides Fundament für eine sichere Webumgebung.

2. Einfache Installation in jeder Infrastruktur

Egal ob:

  • klassische Server,

  • Docker-Umgebungen,

  • Kubernetes-Cluster
    oder hybride Cloud-Strukturen – Bunkerweb lässt sich schnell integrieren und flexibel anpassen.

3. Automatisierte Sicherheitsprozesse

Durch intelligente Automatisierung optimiert die WAF ihre Sicherheitsregeln dynamisch, entlastet Administratoren und sorgt für einen stabilen, selbstlernenden Schutz.

4. Transparente Logs & Monitoring

Dank übersichtlicher Dashboards und detaillierter Log-Auswertungen lassen sich Angriffe, Systemaktivitäten und Performance jederzeit nachvollziehen.

5. Open-Source und aktiv weiterentwickelt

Mit einer engagierten Community und regelmäßigen Updates bleibt Bunkerweb technisch aktuell und bietet volle Transparenz im Quellcode – ein großer Pluspunkt für sicherheitskritische Anwendungen.


Bunkerweb im Einsatz: Für wen eignet sich die WAF?

Bunkerweb ist ideal für:

  • Betreiber von Websites und Online-Shops

  • SaaS-Plattformen und API-Backends

  • Agenturen und Hosting-Provider

  • DevOps- und Kubernetes-Teams

  • Unternehmen, die eine DSGVO-konforme Open-Source-Lösung bevorzugen

Durch die hohe Skalierbarkeit ist es sowohl für kleinere Projekte als auch für Enterprise-Umgebungen geeignet.


Fazit: Bunkerweb ist eine starke Basis für sichere Webanwendungen

In einer Welt, in der Cyberbedrohungen täglich komplexer werden, punktet Bunkerweb mit:

  • hoher Sicherheit,

  • einfacher Bedienung,

  • flexibler Integration

  • und vollständiger Transparenz.

Die Kombination aus Open-Source, moderner Architektur und starker Community macht Bunkerweb zu einem der interessantesten WAF-Frameworks auf dem Markt.


Jetzt starten – Websecurity auf dem nächsten Level

Willst du deine Webprojekte optimal absichern? Dann probiere Bunkerweb aus und überzeuge dich selbst von den starken Features.

https://github.com/bunkerity/bunkerweb
https://www.bunkerweb.io/

Kritische Sicherheitslücke und ihre Auswirkungen auf Proxmox LXC-Container

In den letzten Tagen hat die Sicherheitslücke CVE-2025-52881 in der Container-Runtime runc für Aufsehen gesorgt. Diese Lücke, die einen Container-Escape und eine Denial-of-Service (DoS) ermöglichen kann, wurde durch ein wichtiges Sicherheitsupdate behoben. Leider führt die Art und Weise, wie dieser Fix implementiert ist – nämlich das erneute Öffnen von Dateideskriptoren (FD reopening) für procfs-Operationen – zu Konflikten mit den standardmäßigen AppArmor-Profilen von LXC-Containern unter Proxmox, insbesondere wenn Sie Docker oder andere Container-Engines innerhalb eines LXC-Containers betreiben (sogenanntes „Nested“ oder verschachteltes Container-Setup).

Was passiert?

Die Fehlermeldung, die Sie möglicherweise beim Starten oder Initialisieren von Containern sehen, sieht in etwa so aus:

open sysctl net.ipv4.ip_unprivileged_port_start file: reopen fd 8: permission denied

Dies tritt auf, weil der Sicherheitspatch in runc (oder einer abhängigen Komponente wie containerd.io, die durch das Update auf eine anfällige Version aktualisiert wurde) versucht, eine Systemdatei unter /proc/sys/net/ipv4/ip_unprivileged_port_start zu öffnen. Das AppArmor-Profil des Proxmox LXC-Containers blockiert jedoch diesen Zugriff, da es Schreibvorgänge auf die meisten /sys-Dateien unterbindet. Da /proc/sys oft auf /sys/ gemappt wird, interpretiert AppArmor den Zugriff als verbotenen /sys-Schreibvorgang.
Siehe auch: https://github.com/opencontainers/runc/issues/4968#issue-3593655843


️ Lösungsmöglichkeiten unter Proxmox

Da die Deaktivierung des Sicherheitsupdates keine Option ist (da es kritische Container-Escape-Schwachstellen behebt), müssen wir die LXC-Konfiguration anpassen. Ich würde euch hier die Lösung 3 eher ans Herz legen.

1. Empfohlene Lösung: Downgrade des betroffenen Pakets (Temporäre Lösung)

Die schnellste Lösung, die das Problem umgeht, besteht darin, das aktualisierte Paket, das den Fix enthält und den Konflikt verursacht, auf eine funktionierende, aber ältere (und potenziell anfällige) Version zurückzusetzen. Dies wird oft für containerd.io beobachtet, das die aktualisierte runc-Bibliothek enthält.

  • ⚠️ Wichtig: Beachten Sie, dass dies die Sicherheitslücke CVE-2025-52881 wieder öffnet. Dies ist nur eine temporäre Notlösung, bis eine offizielle Korrektur des AppArmor-Profils in Proxmox/LXC verfügbar ist. Verwenden Sie dies nur, wenn Sie keine andere Wahl haben, und aktualisieren Sie sofort, wenn ein offizieller Fix herauskommt.

Beispiel für Ubuntu/Debian in Ihrem LXC-Container:

  1. Prüfen Sie, welche Versionen verfügbar sind (ersetzen Sie das Release, z. B. jammy oder noble):

    Bash

    apt list -a containerd.io
    
  2. Installieren Sie die letzte funktionierende Version (z. B. 1.7.28-1 anstelle von 1.7.29-1):
    # Für Ubuntu 22.04 Jammy:
    apt install containerd.io=1.7.28-1~ubuntu.22.04~jammy
    # Für Ubuntu 24.04 Noble:
    apt install containerd.io=1.7.28-1~ubuntu.24.04~noble
    
  3. Starten Sie den Dienst neu:
    systemctl restart docker
    

 

2. Alternative: AppArmor im Container umgehen (Hotfix)

 

Eine andere schnelle, aber nicht empfohlene Methode als Hotfix ist, Docker vorzugaukeln, dass AppArmor deaktiviert ist. Auch hier gilt: Dies reduziert Ihre Sicherheit.

Führen Sie diesen Befehl im betroffenen LXC-Container aus:

Bash

mount --bind /dev/null /sys/module/apparmor/parameters/enabled
systemctl restart docker

Dies bindet /dev/null über die AppArmor-Statusdatei, was den Kernel glauben lässt, AppArmor sei im Container deaktiviert.

 

3. Die bessere, aber komplexere Lösung: Anpassung der LXC-Konfiguration

 

Die sicherste Langzeitlösung besteht darin, die AppArmor-Einschränkungen für den Container so anzupassen, dass der Zugriff auf die betroffene sysctl-Datei zugelassen wird, ohne die allgemeine Sicherheit zu stark zu schwächen.

Schritt 1: LXC-Konfigurationsdatei bearbeiten

Bearbeiten Sie auf dem Proxmox Host die Konfigurationsdatei Ihres Containers (ersetzen Sie VMID durch die ID Ihres Containers, z. B. 101):

nano /etc/pve/lxc/VMID.conf

Schritt 2: nesting aktivieren und AppArmor-Regeln hinzufügen

Stellen Sie sicher, dass die Nesting-Funktion aktiviert ist (dies ist oft für Docker in LXC erforderlich) und fügen Sie eine oder beide der folgenden Zeilen hinzu, um die AppArmor-Regeln zu modifizieren:

Ini, TOML

# Notwendig für verschachtelte Container (Docker in LXC)
features: nesting=1

# Fügen Sie diese Zeile hinzu, um das Schreiben von Sysctls zu erlauben
lxc.apparmor.profile: unconfined

# ODER, spezifischer (nur, wenn 'unconfined' nicht funktioniert oder zu offen ist):
# lxc.apparmor.profile: generated
# lxc.apparmor.allow-incomplete: 1
# lxc.mount.entry: /proc/sys/net/ipv4/ip_unprivileged_port_start proc/sys/net/ipv4/ip_unprivileged_port_start none bind,optional,create=file

Hinweis: unconfined deaktiviert AppArmor für diesen Container. Dies ist aus Sicherheitsgründen nicht ideal, aber eine gängige Lösung für tief verschachtelte Containerprobleme. Die spezifischere Bindung funktioniert möglicherweise nur, wenn AppArmor bestimmte Pfade zulässt.

Schritt 3: Container neu starten

Starten Sie den LXC-Container neu, damit die Änderungen wirksam werden.

pct stop VMID
pct start VMID

Fazit und Ausblick

Das Problem CVE-2025-52881 zeigt einmal mehr die Komplexität des Betriebs von Containern in Containern. Während die Sicherheitsupdates in runc essenziell sind, verursachen sie aufgrund der restriktiven AppArmor-Profile der LXC-Umgebung Probleme unter Proxmox.

Die beste langfristige Lösung ist eine Aktualisierung der Proxmox-Basis oder der LXC-AppArmor-Profile, um den notwendigen Zugriff zu gewähren, ohne die Sicherheit des Hosts zu gefährden. Bis dahin müssen Benutzer möglicherweise eine der genannten Workarounds anwenden und dabei stets das Risiko einer vorübergehenden Sicherheitsminderung im Auge behalten.