Stand: 22.09.2025
Es wurde ein Buffer Overlflow in Proxmox VE gefunden. Was bedeutet dies? Jemand ergänzt den Aufruf von vncterm oder spiceterm mit bestimmten ANSI Sonderzeichen, den sogenannten Escape-Zeichen. Die Escape Zeichen werden normalerweise vom Programm entfernt, wenn sie nicht genutzt werden sollen. Wenn sie eine Funktion haben, dann werden sie entsprechend verarbeitet und der Rest entfernt.
Das scheint aber in diesen beiden Fällen nicht geklappt zu haben oder nicht mit allen Zeichen zu klappen. Diese Zeichen können dann einen Buffer Overflow im Programm verursachen. Damit stürzt das Programm entweder einfach ab, liefert Daten aus oder im schlimmsten Fall lässt sich Code ausführen, der mitgegeben wird.
Hört sich im ersten Moment gefährlich an, ist aber alles relativ. Diese beiden Programme sind nur in der GUI bzw. Weboberfläche zu erreichen. Und sie sind nur nutzbar, wenn der angemeldete User bestimmte Berechtigungen hat.
Der User muss entweder die Berechtigung Sys.Console oder VM.Console besitzen.
Wie kann ich mich schützen?
Also der Angreifer braucht Zugriff auf das System. Wie kann ich das einfach verhindern? Wenn das Admin-Netz getrennt ist und zusätzlich durch eine Firewall geschützt wird, dann wird der unberechtigte Zugriff schon mal schwierig. Gute Passwörter und ein aktiviertes 2FA tun das übrige.
Also was sollte man auf keinen Fall machen? Die Admin-Gui (also der Webserver auf 8006) ins Internet hängen. Was mache ich nun wenn mein Proxmox VE auf einem Server im Internet liegt? Ganz einfach: Eine VPN Verbindung zu diesem Netz aufmachen, aber auf keinen Fall die IP direkt ins Internet hängen.
Wer ist jetzt aber wirklich gefährdet? Jeder, der VMs und Container auf einem ProxmoX VE für Kunden bereitstellt und dafür die Web-GUI nutzt. Jetzt kommt es darauf an, was wirklich mit dem Buffer Overflow erreicht werden kann. Ist es nur die VM, für die gerade das Programm aufgerufen wurde? Dann ist es wieder relativ. Im Proxmox können Berechtigungen für User und VMs / LXC kombiniert werden. Also die Berechtigung VM.Console nur für die VM 301 und 302. Und ein Provider will sicherlich keinen Zugriff für einen Kunden auf die Console des PVE zulassen, oder? Wenn man aber die eigene VM „verlassen kann“, dann sollte man besser die Updates schon installiert haben.
Alles relativ, denn es gibt Updates:
Bei Proxmox VE 9:
vncterm größer gleich 1.9.1 ist gefixt
spiceterm größer gleich 3.4.1 ist gefixt
Bei Proxmox VE 8:
vncterm größer gleich 1.8.1 ist gefixt
spiceterm größer gleich 3.3.1 ist gefixt
Also auf jeden Fall das eigene System auf aktuellem Stand halten und natürlich immer gut schützen.
Link zum BSI mit den Informationen: https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2111
