REVERSE-PROXY-FANS, AUFGEPASST: Traefik — der populäre Reverse-Proxy und Load-Balancer für Container-Workloads — hat am 11. Mai die Version 3.7.1 veröffentlicht. Sie schließt eine Security-Lücke (CVE-2026-44774) und fixt mehrere Kubernetes-Provider-Bugs. Wer Traefik produktiv vor seinen Docker- oder K8s-Services hängt, sollte JETZT updaten — der Sprung von 3.7.0 ist bruchfrei.
DREI Tage nach 3.7.0 schon der Patch
Traefik 3.7.0 erschien am 5. Mai mit neuen Features wie verbessertem Forward-Auth-Handling und K8s-Gateway-API-Updates. Doch sechs Tage später folgt schon der Sicherheits-Hotfix 3.7.1. Das zeigt: Auch im Open-Source-Routing-Bereich werden Lücken inzwischen rasend schnell aufgedeckt und gepatcht. Wer seinen Edge-Stack auf latest automatisiert hat, ist ohnehin durch.
WAS steckt in CVE-2026-44774?
Die Detail-Beschreibung der Lücke ist noch zurückhaltend — Traefik-Maintainer veröffentlichen die volle Beschreibung typischerweise erst, wenn der Großteil der Installationen gepatcht ist. Klar ist: Es geht um den HTTP-Routing-Layer und kann unter bestimmten Konstellationen zu unerwartetem Verhalten führen. Wer Traefik vor sensiblen Backend-Services hat, sollte sofort updaten und nicht warten, bis die Details öffentlich sind.
K8S-PROVIDER: drei Bugs gefixt
Neben der CVE bringt 3.7.1 wichtige Fixes für den Kubernetes-Provider:
- Cross-Provider-Namespace-Handling: Wenn Routes über mehrere Provider definiert werden, gab’s Inkonsistenzen bei Namespace-Resolution.
- Reference-Checks: Saubere Validierung von
secretName-Verweisen — verhindert, dass Routes auf nicht existente Secrets zeigen und schweigend ausfallen. - Gateway-API-Verbesserungen: Mehrere Edge-Cases bei der Übersetzung von Gateway-API-Ressourcen in Traefik-interne Konfiguration sauber gepatcht.
WIE UPDATE ICH ohne Downtime?
Traefik selbst ist statefulless — neue Container starten, alte abräumen. Bei Docker-Compose:
docker compose pull traefik
docker compose up -dBei Kubernetes (Helm-Chart):
helm repo update
helm upgrade traefik traefik/traefik --version <neue Version>Vorher den letzten Helm-Values-Stand sichern. Bei Bare-Metal-Setup einfach das neue Binary runterladen und den Service restarten — Traefik liest die Konfig beim Start neu ein.
EXTRA-CHECK: Forward-Auth?
Wenn du Forward-Auth nutzt (für Authelia, Authentik, oder eigene Auth-Middleware), checke nach dem Update kurz, ob deine Auth-Header durchgereicht werden. Die 3.7.0er-Release hatte hier ein subtiles Verhalten-Change, das in 3.7.1 endgültig gefixt sein soll. Ein curl auf eine geschützte Route mit gültigem Cookie sollte 200 zurückkommen; ohne Cookie 302 zur Login-Seite.
FAZIT: Kein Drama, aber zügig patchen
3.7.1 ist ein klassischer Maintenance-Release: Eine Security-CVE, ein paar K8s-Provider-Fixes, keine Breaking Changes. Update einspielen, Forward-Auth kurz testen — fertig. Wer Traefik in seiner Homelab-Reverse-Proxy-Kette nutzt, gewinnt dadurch sieben Tage weniger Risiko. Plus: Im gleichen Zeitraum kam auch ein NGINX-Heap-Bug raus (CVE-2026-42945) — wenn du zwischen Caddy, Traefik und NGINX wählen kannst, ist Traefik mit dem schnellen 3.7.1-Patch ein gutes Argument für die Statistik.
Häufige Fragen
Welche Versionen sind betroffen?
Bricht das Update meine Konfiguration?
Wie führe ich das Update durch?
docker compose pull traefik && docker compose up -d. Kubernetes (Helm): helm upgrade traefik traefik/traefik. Bare Metal: Neues Binary von github.com/traefik/traefik/releases ziehen, alten Service stoppen, neues starten.Soll ich gleich auf die 3.8-Beta wechseln?
Quellen: