HOMELAB-SCHOCK für ALLE Proxmox-Fans! Eine KRITISCHE Sicherheitslücke erschüttert die Community: CVE-2026-25499 im weit verbreiteten bpg/terraform-provider-proxmox!
10.000+ GitHub-Stars, Standard in der Proxmox-Community – und jetzt voll verwundbar! Wer Infrastructure-as-Code betreibt, muss JETZT handeln!
UNFASSBAR: So brutal ist die Lücke!
CVE-2026-25499 ist ein Path-Traversal-Angriff durch eine unsichere sudoers-Konfiguration in der offiziellen Dokumentation des Providers!
Die Zahlen:
- CVSS 4.0 Score: 8.7 (HIGH)!
- CWE-22 (Path Traversal) + CWE-1188 (Insecure Default)!
- Angriffsvektor: Netzwerk, ohne Authentifizierung!
- Betroffen: Alle Versionen VOR 0.93.1!
SCHOCK: So läuft der Angriff!
Der Proxmox Terraform Provider braucht sudo-Rechte für SSH-basierte Operationen – etwa um Snippets nach /var/lib/vz/snippets/ zu schreiben!
Die GEFÄHRLICHE sudoers-Regel aus der Doku:
Cmnd_Alias TERRAFORM = /usr/bin/tee /var/lib/vz/*
terraform ALL=(root) NOPASSWD: TERRAFORM
Das Wildcard * schützt in sudoers-Regeln NICHT vor Path-Traversal!
Der Angreifer kann:
- Pfade wie
/var/lib/vz/../../../etc/sudoers.d/maliciousübergeben! - BELIEBIGE Systemdateien überschreiben!
/etc/sudoers,/etc/shadowoder SSH-Keys manipulieren!- ZACK: vollständige Proxmox-Host-Übernahme!
ACHTUNG: Bin ICH betroffen?
Du bist in Gefahr, WENN:
- Du den bpg/terraform-provider-proxmox oder OpenTofu-Provider nutzt!
- Du die SSH-Verbindung aktiviert hast (statt API-Token-Methode)!
- Du die in der Dokumentation empfohlene sudoers-Konfiguration übernommen hast!
- Deine Provider-Version ist ÄLTER als 0.93.1!
Check dich SOFORT:
terraform version
# oder bei OpenTofu
tofu version
SOFORT HANDELN: Dein 3-Schritte-Fix!
SCHRITT 1: Provider-Version checken!
grep -r "version =" *.tf
SCHRITT 2: Provider UPDATEN!
In deiner providers.tf:
terraform {
required_providers {
proxmox = {
source = "bpg/proxmox"
version = ">= 0.93.1"
}
}
}
Dann:
terraform init -upgrade
SCHRITT 3: sudoers-Regel HÄRTEN!
Statt Wildcard JETZT explizite Pfade verwenden! Die neue Doku empfiehlt:
Cmnd_Alias TERRAFORM_TEE = /usr/bin/tee /var/lib/vz/snippets/[a-zA-Z0-9_-]*.yaml, \
/usr/bin/tee /var/lib/vz/snippets/[a-zA-Z0-9_-]*.yml
terraform ALL=(root) NOPASSWD: TERRAFORM_TEE
Die regulären Ausdrücke statt Wildcard blockieren Path-Traversal!
MEGA-TIPP: WECHSEL auf API-Token!
Die elegantere Lösung: SSH-Methode komplett durch API-Token ersetzen! Dann brauchst du keine sudoers-Regel mehr!
provider "proxmox" {
endpoint = "https://proxmox.local:8006"
api_token = "root@pam!terraform=your-token-here"
# KEINE SSH mehr!
}
Vorteile:
- Kein Sudoers-Chaos mehr!
- Feinere Rechte-Kontrolle über API-Tokens!
- Saubere Audit-Logs auf Proxmox-Seite!
BONUS: Audit-Log-Check!
Wurde die Lücke bei dir missbraucht? Prüfe diese Dateien:
# Letzte Änderungen in kritischen Verzeichnissen
sudo find /etc/sudoers.d /etc/ssh /root/.ssh -mtime -90 -type f
# Auth-Log auf verdächtige sudo-Calls
sudo grep 'tee.*\.\./' /var/log/auth.log
# Unbekannte Admin-Accounts
sudo grep -v '^#' /etc/passwd | grep -E '^[^:]+:[^:]+:0:'
FAZIT: Infrastructure-as-Code braucht Security-as-Code!
Knallharte Lektion: Selbst gut gemeinte Dokumentation kann gefährliche Lücken mitbringen! Die Community-Provider sind brillant – aber Sicherheits-Checks sind Pflicht!
Mein Rat: HEUTE die Version checken, SOFORT updaten, NÄCHSTE WOCHE auf API-Token migrieren! Dein Proxmox-Host wird’s dir danken!
Auf Lapalutschi.de kommt bald der ultimative Terraform-für-Proxmox-Hardening-Guide – mit API-Tokens, Vault und sauberen Workflows! Bleib dran!