KERNEL-ALARM für jeden Linux-Admin! Am 11. Mai 2026 sind die stabilen Versionen Linux 7.0.6 und Linux 6.18.29 erschienen. Beide patchen denselben Schweren: einen Memory-Handling-Bug im rxrpc-Subsystem, der unter bestimmten Last-Bedingungen IPsec-UDP-Traffic korrumpieren oder Out-of-Memory-Abstürze auslösen kann.
Server, Router, VPN-Endpunkte und Storage-Hosts mit hohem Netz-Durchsatz sollten JETZT updaten — wir zeigen dir, was passiert ist und wie du sauber reagierst.
UNGLAUBLICH: Splice() liest fremden Speicher
Im rxrpc-Subsystem (Reliable RPC Protocol — Andrew File System und verwandte) gab es einen Pfad, in dem der Kernel bei splice()-Operationen und Socket-Schleifen Speicherseiten als kernel-eigen behandelt hat, die in Wirklichkeit anderen Bereichen gehörten.
Konsequenz unter Last:
- Fragmenten-Daten wandern direkt in Decrypt-Routinen, ohne kopiert zu werden
- OOM-Killer kann zuschlagen, weil Buchhaltung nicht stimmt
- IPsec-UDP-Traffic wird im Worst Case korrumpiert — encrypted Pakete kommen kaputt an
- Bei viel Splice-/Socket-Loop-Verkehr (z. B. Storage- oder VPN-Gateways) wahrscheinlicher
Kein Remote-Exploit-CVE — aber ein hartnäckiger Stabilitäts-Bug, der die Symptome an viel zu vielen Stellen versteckt.
SCHOCK: Bin ich betroffen?
Drei Indikator-Fragen:
- Läufst du auf Kernel 7.0.x oder 6.18.x? Distro-Update-Tool oder
uname -rsagen es. - Hast du IPsec / strongSwan / WireGuard-IPsec-Stacks aktiv? VPN-Gateways, Site-to-Site-Tunnel.
- Hast du AFS, KAFS oder andere RxRPC-Workloads? Sehr nischig — aber dann besonders relevant.
Wenn du eine der drei Fragen mit Ja beantwortest: Update planen, Reboot einplanen, fertig.
So holst du Linux 7.0.6 SAUBER auf deinen Server
- Distro-Mirror oder Paketquelle aktualisieren (
apt update,dnf check-update). - Kernel-Paket gezielt installieren — z. B. Debian:
apt install linux-image-7.0.6-.... Bei Ubuntu/Mainline-Kernels Vorsicht: nur signed Pakete. - Backup oder Snapshot der wichtigsten Hosts vor dem Reboot.
- Reboot, danach
uname -rverifizieren. - VPN-Tunnel und Storage-Mounts gegenchecken — alles im grünen Bereich?
Für Proxmox-Cluster: live-migrate VMs ab dem Host weg, dann Host updaten und rebooten. Kein Downtime für die VMs.
GEFAHR! Nicht jeden Stable-Mix anrühren
Du musst NICHT von 6.18.x auf 7.0.x springen. 6.18.29 ist die LTS-Kandidat-Serie, viele Distributionen werden dort lange bleiben. Wenn du auf 6.18 bist, reicht der Punkt-Punkt-Update vollkommen. Nur wer eh schon auf 7.0 unterwegs ist, holt 7.0.6.
EXTRA-TIPP: Conntrack und IPsec-Logs checken
Wenn du in den vergangenen Wochen zufällige IPsec-Reconnects oder OOM-Killer-Einträge in dmesg gesehen hast, war das vermutlich genau dieser Bug. Nach dem Update: journalctl -k | grep -E "rxrpc|esp|oom" beobachten — die Reihe sollte stumm bleiben.
FAZIT: Stille Wartung mit lautem Effekt
7.0.6 und 6.18.29 sind kleine Versionsnummern mit großer Wirkung. Wer in produktiver Linux-Umgebung mit Netz-Last arbeitet, sollte sie zeitnah einspielen — speziell auf VPN-Konzentratoren und Storage-Gateways. Backup, Update, Reboot, weiter.