#Homelab · 3 Min. Lesezeit · Tim Rinkel

TRAEFIK-ALARM! 5 CVEs auf einen Schlag – SOFORT auf 3.6.14 oder 2.11.43 patchen!

TRAEFIK-ALARM! 5 CVEs auf einen Schlag – SOFORT auf 3.6.14 oder 2.11.43 patchen!

HOMELAB-ALARM! Wenn du Traefik als Reverse Proxy laufen hast, kommt jetzt der wichtigste Patch des Monats. Am 21. April hat Traefik Labs ein Sammelsurium aus fünf CVEs mit einem Schlag geschlossen – 2.11.43, 3.6.14 und 3.7.0-rc.2 sind jetzt LIVE. Wer noch auf der alten Version steht, lässt seinen Server offen wie eine Scheunentür.

SCHOCK: Diese 5 Lücken müssen weg

  • CVE-2026-40912 – Header-Validierung umgehbar.
  • CVE-2026-39858 – ungewollte Anfrage-Weiterleitung.
  • CVE-2026-35051 – Memory Exhaustion durch missgestaltete Request-Bodies.
  • CVE-2026-41263 – TLS-Konfig kann mit Sonderfällen ausgehebelt werden.
  • CVE-2026-41174 – ACME-Edge-Case sorgt für nicht abgelaufene Zertifikate.

Klingt theoretisch? Ist es nicht. Wer hinter Traefik Authelia, NextCloud oder Vaultwarden stehen hat, gibt im Worst Case Authentifizierung, Zertifikate UND Resourcen-Verfügbarkeit her. Das ist der Albtraum jedes Selfhosters.

UNGLAUBLICH: Was Traefik im Hintergrund noch verbessert

Neben den Security-Patches schiebt Traefik in den Release-Notes ein paar leise Verbesserungen ein, die dich nicht in Panik bringen sollen, aber freuen werden:

  • Bugfixes in der Docker-Provider-Logik (weniger Phantom-Container in der Routing-Tabelle).
  • Sauberere Kubernetes-CRD-Erkennung – auch im k3s-Homelab merkbar.
  • ACME-Verbesserungen, gerade für Wildcard-Zertifikate über DNS-Challenge.
  • Robusteres Verhalten beim Reload von TLS-Optionen ohne Restart.

So patchst du in 5 MINUTEN – Schritt für Schritt

  1. Compose-Datei öffnen: Such die Zeile image: traefik:. Bist du auf v3.6, geht es jetzt auf v3.6.14. Auf der LTS-Linie 2.11 nimmst du v2.11.43.
  2. Backup machen! Eine Sicherung der traefik.yml und der ACME-Datei (acme.json) ist Pflicht. cp acme.json acme.json.bak.
  3. Image ziehen: docker compose pull traefik. Dauert 10 Sekunden.
  4. Neustarten: docker compose up -d traefik. Sekunden später läuft der Patch.
  5. Logs checken: docker compose logs -f traefik. Wenn du dort „level=error“ siehst, geh zurück auf das Backup.

EXTRA-TIPP: Health-Check für deine Routes

Mach NACH dem Update einen kompletten Smoke-Test. Ruf alle wichtigen Subdomains nacheinander auf, prüfe die Zertifikatsgültigkeit (Klick aufs Schloss im Browser) und schau im Traefik-Dashboard, ob alle Router den Status „green“ zeigen. So fällst du nicht erst Stunden später aus den Wolken, weil dein Bitwarden auf einmal 502 raushaut.

GEFAHR! Wer jetzt zögert, riskiert einen Mitternachts-Anruf

Traefik steht im Homelab fast immer als letzte Wand zwischen Internet und allen Diensten. Wenn da eine Lücke ist, kommt der Angreifer nicht in einen einzelnen Container – sondern in alle. Genau deshalb haben so viele Sicherheits-Newsletter heute schon Alarm geschlagen. Du gehörst nicht in die Schlagzeilen vom nächsten BSI-Lagebericht.

HINTERGRUND: Reverse-Proxy-Hygiene als Pflichtprogramm

Traefik ist nicht der einzige Reverse Proxy mit gelegentlichen CVEs – nginx, Caddy und HAProxy haben in den letzten 12 Monaten ähnliche Patch-Wellen gehabt. Was diese Geräte alle gemeinsam haben: Sie stehen direkt im Pfad zwischen Internet und deinen sensiblen Diensten. Eine kleine Schwäche an dieser Stelle hebelt alles dahinter aus.

Mach dir die Mühe, mindestens einmal im Monat einen kurzen Update-Check auf alle Edge-Komponenten zu machen: Reverse Proxy, Firewall, VPN-Server, ggf. NAS. Trag dir das in Vikunja, Outline oder einen einfachen Cron-Reminder. Wer das durchhält, schläft nachts ruhiger. Und wer nicht: Der erlebt früher oder später, was passiert, wenn die Schlagzeilen-CVEs zu spät auf den eigenen Server treffen.

UNGLAUBLICH: 5 schnelle Fakten zum Traefik-Update

  • Drei parallele Patches: 2.11.43 (LTS), 3.6.14 (Stable), 3.7.0-rc.2 (Vorabversion).
  • Alle fünf CVEs gleichzeitig geschlossen – kein Einzelfix.
  • Kein Konfigurations-Eingriff nötig – reines Image-Update.
  • Reload statt Restart bei TLS-Optionen jetzt zuverlässiger.
  • Helm Charts und Kubernetes-CRD-Sync ebenfalls aktualisiert.

BONUS-CHECK: Nach dem Update ist es Pflicht, deine Middleware-Definitionen einmal zu ueberfliegen. Manchmal werden interne Defaults zwischen Minor-Versionen feinjustiert – was deine Rate-Limiter, deinen StripPrefix oder deine BasicAuth in Sonderfaellen anders verhalten laesst. 30 Sekunden Diff im Git-Repo deiner traefik.yml reichen, um auf der sicheren Seite zu sein.

FAZIT: Patch JETZT, frag später

Das Update braucht 5 Minuten, kostet nichts und macht 5 unangenehme Lücken weg. Wer hier zögert, sucht den Ärger. Update auf v3.6.14 oder v2.11.43, mach den Smoke-Test, sicher dir die Logs – und freu dich wieder am sauberen Reverse Proxy. So einfach kann Sicherheit sein.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert