XCP-ng 8.3 LTS Mai-Update 2026: IPSec-ESN abgeschaltet

Wenn du XCP-ng 8.3 LTS betreibst – Vectoring zu Proxmox, VMware oder XenServer – ist das hier dein Mai-Update: das Vates-Team hat das Maintenance-Pack 2026-05 released. Die wichtigste Änderung: IPSec ESN ist raus. Plus ein XAPI-Privilege-Escalation-Fix obendrauf.

HAMMER: IPSec ESN wird gekillt

Extended Sequence Numbers (ESN) im IPSec-Stack waren die letzten zwölf Monate Quelle mehrerer kleinerer Schwachstellen. Statt jeden einzelnen Bug zu patchen, schmeißt das XCP-ng-Team den Modus jetzt komplett raus. Vorteil: weniger Angriffsfläche, sauberer Audit-Stand. Nachteil: Performance-Einbußen bei sehr langen, hohen-Bandbreiten-VPN-Tunneln zwischen Pools.

SO ÄNDERT sich GPN

Die Guest Private Networks-Funktion (GPN) nutzt unter der Haube IPSec für die verschlüsselte Pool-zu-Pool-Verbindung. Mit dem Patch fallen GPNs zurück auf 32-Bit-Sequence-Numbers. Im Lab und bei den meisten Production-Workloads merkst du nichts. Wer einen Multi-Gigabit-VPN-Trunk dauerhaft auslastet, sollte die Throughput vor und nach dem Update messen.

SCHOCK: XAPI-Privilege-Eskalation

Der zweite Patch-Block fixt mehrere Privilege-Escalation-Lücken in XAPI. Ein User mit der vm-admin-Rolle hätte sich – über die Advanced-RBAC-Funktion – zum Root in Dom0 hochziehen können. Das ist scharf, allerdings:

Standard-Setups mit Xen Orchestra oder XO Lite nutzen Advanced RBAC nicht.
Wer Advanced RBAC explizit aktiviert hat, ist betroffen.

Trotzdem: Update einspielen, weil die Funktion sich nachträglich aktivieren lässt und du nicht das Risiko nehmen willst.

EXTRA-TIPP: Rolling Reboot ohne Downtime

Der saubere Update-Weg im Cluster:

In Xen Orchestra die Patch-Liste prüfen.
Auf jedem Slave-Host yum update laufen lassen.
Toolstack neu starten (systemctl restart toolstack).
Host in Maintenance Mode setzen, VMs migrieren lassen.
Reboot, aus dem Maintenance Mode raus.
Beim Master zuletzt – HA übernimmt während des Reboots.

FAZIT: Pflicht-Update ohne Drama

Das XCP-ng-8.3-LTS-Mai-Update ist sauber, gut dokumentiert und ohne Zero-Day-Druck. Wer Advanced RBAC nutzt, MUSS einspielen. Alle anderen sollten in den nächsten 14 Tagen rolling reboot machen – und sich beim Vates-Team für die ehrliche Kommunikation bedanken.

Häufige Fragen

Warum schaltet XCP-ng IPSec ESN ab?

Extended Sequence Numbers (ESN) im IPSec-Stack waren in den letzten Monaten Quelle mehrerer Schwachstellen. Statt sie patchweise zu härten, deaktiviert XCP-ng den Modus jetzt komplett. Folge: GPN-Verbindungen nutzen wieder klassische 32-Bit-Sequence-Numbers. Performance-Drop in Spezialfällen, dafür sauberer Audit-Stand.

Was ist der XAPI-Fix?

Mehrere Privilege-Escalation-Lücken in XAPI, die einen User mit der vm-admin-Rolle erlauben würden, sich zu Root in Dom0 hochzuziehen. Voraussetzung war XAPIs Advanced-RBAC – das in Standard-Setups (Xen Orchestra, XO Lite) gar nicht aktiv ist. Wer aber Advanced RBAC nutzt, muss das Update zwingend einspielen.

Bricht die GPN-Performance jetzt zusammen?

In den meisten realen Workloads NICHT spürbar. ESN war vor allem für sehr lange dauerhafte Tunnels mit Multi-Gigabit-Traffic relevant. Wer einen Cluster über VPN spannt und plötzlich Throughput-Drops sieht, kann ESN per Toolstack-Flag wieder einschalten – auf eigenes Sicherheitsrisiko.

Wie führe ich das Update sauber durch?

Pro Pool: 1) Patch-Liste in XO prüfen, 2) Slave-Hosts via yum update aktualisieren, 3) Toolstack neu starten, 4) Host rolling rebooten, 5) Master als letzten ziehen. Bei drei oder mehr Hosts läuft der Cluster online weiter, solange du HA und Self-Service korrekt konfiguriert hast.

Quellen: XCP-ng Blog (2026-05-05 Maintenance), Vates Security Advisory.

XCP-NG-HAMMER! Mai-Patch killt JETZT IPSec ESN — DEIN Hypervisor wird sicherer