Wir haben gestern in der neuen Firewall von Proxmox (pve-firewall Version 3.0-9), der neuen Proxmox – Version 3.3, einen extremen Sicherheits-Bug gefunden! Inzwischen arbeiten die Entwickler offensichtlich unter Hochdruck daran, diesen Bug zu beseitigen, wie gefährlich jedoch dieser Bug ist, wollen wir nachfolgend beschreiben: Mit der neuen intigrierten Firewall in Proxmox, kann ab ab der neuesten Version, über diese Firewall der gesamte Host, aber auch alle Container (virtuellen Server), easy und einfach abgesichert werden, ohne daß Administratoren hier extra etwas etwas steuern oder drum herum programmieren müssen. Allerdings befindet sich in der Software Proxmox hier ein extremer Sicherheits-Bug und so steigt die gesamte Firewall komplett aus, wenn nur ein Container mit einer IPv6 aktiviert wird!

Zuerst bekamen wir dann eine „dumme Antwort“, daß Proxmox Firewall derzeit kein IPv6 unterstützt, dennoch unterstützt aber Proxmox schon seit langem IPv6 und daher darf man natürlich keine Firewall herausgeben, die dann zusammen bricht, wenn nur ein Server mit einer IPv6 im Firewall-Management aktiviert wird. Die Presse, wie Heise, Linux-Magazine und viele andere, haben gerade diese Sicherheits-Features hochgelobt, aber offensichtlich noch nicht einmal ausreichend getestet! Denn wie kann es angehen, daß wir von 1awww.com immer nur solche Bugs finden?

Noch viel schlimmer ist aber der Umstand, daß Administratoren, die die Firewall nur über das GUI (also das Webinterface von Proxmox) steueren, überhaupt gar keine Warnung oder Fehlermeldung erhalten, wenn die Firewall aussteigt!

Es ist also möglich, daß tausende von Host-Systemen jetzt komplett ungeschützt arbeiten, ohne daß deren Administratoren bemerken, daß die Firewall, die ihren Dienst tuen sollte und im Test auch funktionierte, nun eben genau nicht funktioniert und den Einbrechern Tür und Tor geöffnet sind!

Wenn also iptables -L nur die Standard-Zeilen anzeigt, die immer dann so angezeigt werden, wenn über iptables nichts konfiguriert ist, ist die Firewall nicht aktiv. Im Log-File /var/log/daemon.log erscheint dann auch am Ende oder mehrfach folgende Zeile:

pve-firewall[314455]: status update error: command ‚/usr/sbin/ipset restore‘ failed: exit code 1