Articoli

Aggiornamenti sicurezza VM Proxmox: cosa e stato corretto e quali CVE sono state chiuse

Il 16 aprile 2026 e’ stato eseguito un giro di aggiornamenti sicurezza sulle VM Proxmox raggiungibili via QEMU Guest Agent, seguito da reboot controllato e verifica del rientro operativo. L’obiettivo era ridurre l’esposizione alle vulnerabilita’ recenti emerse sui sistemi Ubuntu 24.04 e sulla macchina Kali rolling usata per attivita’ tecniche.

Ambito dell’intervento

Le VM gestite nel ciclo sono state:

  • proxy01
  • web01
  • db01
  • nextcloud
  • codex01
  • ldapad
  • git01
  • opencve
  • bot
  • kali01

Le VM firewall 101 e 201 non sono rientrate nel giro automatico per indisponibilita’ del guest agent.

Cosa e’ stato fatto

  • raccolta iniziale dei pacchetti di sicurezza pendenti
  • aggiornamento dei sistemi Ubuntu con apt-get dist-upgrade
  • aggiornamento della VM Kali con apt-get full-upgrade
  • riavvio delle VM raggiungibili
  • verifica del ritorno operativo con controllo hostname e timestamp di boot

CVE aggiornate con evidenza diretta

OpenSSL su db01 e nextcloud

Su db01 e nextcloud sono stati aggiornati openssl e libssl3t64 dalla build 3.0.13-0ubuntu3.7 alla 3.0.13-0ubuntu3.9.

Questo allinea ai fix pubblicati nella notice Ubuntu USN-8155-1, che copre:

  • CVE-2026-28387
  • CVE-2026-28388
  • CVE-2026-28389
  • CVE-2026-28390
  • CVE-2026-31789
  • CVE-2026-31790

polkit e Vim su codex01

Su codex01 risultavano pendenti aggiornamenti di sicurezza su polkit e vim. Dopo l’intervento la macchina e’ rientrata pulita.

I fix ricondotti con evidenza diretta sono:

  • USN-8173-1
    con CVE-2025-7519 e CVE-2026-4897
  • USN-8171-1
    con CVE-2026-32249, CVE-2026-33412 e CVE-2026-34982

Aggiornamenti sicurezza applicati come rollup

Kernel su opencve

Su opencve e’ stato applicato il rollup kernel Ubuntu 24.04 verso 6.8.0-110.110, con reboot completato. In questo caso il fix riguarda un insieme di vulnerabilita’ kernel recenti, ma non viene ricostruito qui un elenco puntuale di singole CVE per ogni sottopacchetto.

Kali rolling su kali01

La VM Kali partiva con un backlog molto ampio e ha richiesto un full-upgrade completo, seguito da reboot confermato. I componenti sensibili aggiornati nel ciclo includono chromium, apache2, bind9, curl, cryptsetup, dbus e amd64-microcode.

Qui il risultato piu importante e’ l’allineamento del sistema a 0 pacchetti aggiornabili, piu che il mapping pacchetto-per-pacchetto a una singola CVE.

Esito per VM

  • proxy01: aggiornato, reboot eseguito, stato pulito
  • web01: aggiornato e riavviato; gli update standard risultano chiusi
  • db01: aggiornato, reboot eseguito, stato pulito
  • nextcloud: aggiornato e riavviato; restano residui minori su rsyslog e snapd
  • codex01: aggiornato, reboot eseguito, stato pulito
  • ldapad: aggiornato e riavviato, stato pulito
  • git01: aggiornato e riavviato, stato pulito
  • opencve: aggiornato, reboot eseguito, rollup kernel applicato
  • bot: aggiornato e riavviato; resta un residuo minore su snapd
  • kali01: full-upgrade completato, reboot confermato, nessun pacchetto aggiornabile residuo

Residui da chiudere

Al termine del ciclo restano due code minori:

  • nextcloud: rsyslog e snapd
  • bot: snapd

Il grosso del backlog sicurezza e’ comunque stato chiuso nel giro del 16 aprile 2026.

Fonti ufficiali usate per il mapping CVE