Kalau kalian mengelola server Proxmox belakangan ini, kalian pasti sadar kalau bulan Mei 2026 ini lagi “panen” security advisory. Bukan cuma satu, tapi ada rentetan celah keamanan kritis di level Linux kernel dan kontainer yang berdampak langsung pada ekosistem Proxmox VE.
Mulai dari celah Copy.Fail, DirtyFrag, Fragnesia, ssh-keysign-pwn, pintheft, hingga masalah LXC config injection.
Mayoritas dari celah ini bermuara pada satu ancaman fatal: Local Privilege Escalation (LPE). Artinya, pengguna biasa (unprivileged user) atau attacker yang berhasil menyusup ke sistem bisa mengeksploitasi cacat logika pada memori kernel atau konfigurasi untuk merampas akses Root. Lebih mengerikan lagi, penyerang yang terjebak di dalam Container (LXC) bisa melakukan container escape dan membajak server host secara total.
Bahaya? Jelas. Tapi jangan panik. Proxmox sudah merilis patch resmi untuk hampir seluruh kerentanan tersebut. Di artikel ini, saya mau membagikan prosedur best practice yang biasa saya terapkan di lapangan untuk melakukan mitigasi dan upgrade kernel dengan mulus dan aman.
Best Practice: Update & Upgrade Kernel Proxmox
Untuk celah keamanan seperti Copy.Fail, DirtyFrag, Fragnesia, ssh-keysign-pwn, dan LXC config injection, solusinya adalah: Update Kernel, Update Paket, dan Reboot.
Ini langkah operasional standar (best practice) yang wajib kalian jalankan agar klaster tetap aman dan tidak downtime berantakan:
1. Cek Versi Kernel Awal Sebelum mulai, pastikan dulu versi kernel yang sedang berjalan di host kalian:
pveversion
Catat versi kernelnya (misal: running kernel: 6.8.12-21-pve).
2. Amankan Virtual Machine (VM) Jangan pernah melakukan reboot saat VM sedang melayani trafik aktif.
- Jika Single Node: Lakukan shutdown pada semua VM/LXC secara berurutan. Matikan VM Aplikasi Web (pintu depan) terlebih dahulu untuk menghentikan trafik, baru kemudian matikan VM Database (mesin inti) untuk menjaga integritas data.
- Jika Cluster (HA): Lakukan migrasi (live migration) VM krusial ke node lain yang sedang tidak di-maintenance agar layanan tetap hidup .
3. Jalankan Update Daftar Paket Refresh daftar repositori Proxmox ke server upstream:
pveupdate
4. Jalankan Upgrade Sistem & Kernel Gunakan perintah khusus Proxmox ini untuk memperbarui seluruh paket sistem secara aman:
pveupgrade
Tunggu sampai proses instalasi paket kernel selesai 100%.
5. Eksekusi Reboot Kernel baru tidak akan pernah aktif jika server tidak di-reboot.
reboot
6. Validasi Pasca-Reboot & Nyalakan VM Setelah server menyala kembali, cek ulang versinya:
pveversion
Pastikan teks running kernel sudah berubah ke versi terbaru (misal: 7.0.2-6-pve untuk PVE 9.2). Jika sudah terkonfirmasi update, nyalakan kembali VM/LXC dengan urutan yang sesuai (misalnya, Database dinyalakan pertama, baru Aplikasi Web menyusul).
Mitigasi Darurat: Celah “pintheft” (Belum Ada Patch)
Di antara badai CVE di atas, ada satu celah spesial yang rilis tanggal 19 Mei 2026 bernama “pintheft” (PSA-2026-00022-1). Celah eskalasi hak istimewa ini mengeksploitasi double-free bug pada modul jaringan rds Linux kernel.
Masalah utamanya: Saat tulisan ini diterbitkan, Proxmox belum menyediakan update kernel resmi untuk menambal celah pintheft secara permanen.
Lalu bagaimana mitigasinya? Tenang, kita bisa menutup celah ini dengan cara memblokir pemuatan modul rds tersebut secara paksa. Proses mitigasi ini sangat aman, tidak mengganggu operasional VM/LXC, dan tidak membutuhkan restart server. Modul RDS ini jarang sekali digunakan di infrastruktur klaster Proxmox pada umumnya.
Cukup eksekusi tiga baris perintah ini di terminal node Proxmox kalian (masuk sebagai root):
1. Cek Status Modul (Opsional)
lsmod | grep -e rds -e rds_tcp
(Jika muncul output, berarti modul sedang aktif. Jika kosong, berarti aman, tapi tetap lanjut ke langkah 2).
2. Blokir Pemuatan Modul Otomatis (Blacklist)
sh -c "printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf"
3. Hapus Modul dari Memori yang Sedang Berjalan (Live)
rmmod rds_tcp rds
Selesai. Server kalian sekarang sudah “divaksinasi” dan aman dari serangan pintheft sampai Proxmox merilis update kernel resminya nanti.
Untuk tulisan kali ini sampai di sini dulu ya. Sampai jumpa. Bye.