L’equip d’XCP-ng ha publicat la primera tanda d’actualitzacions de juny de 2026 per a la branca 8.3 LTS. És una actualització de manteniment que barreja pedaços de seguretat amb millores de programari, i que necessita reiniciar els hosts per aplicar-se del tot. Si administres un clúster XCP-ng, val la pena planificar la finestra de manteniment abans de començar.
Pedaços de seguretat del kernel
El plat fort són tres vulnerabilitats del kernel de Linux que es corregeixen amb aquesta actualització: CVE-2026-46300 (tècnica Fragnesia), CVE-2026-46333 (ptrace_may_dream) i CVE-2026-43494 (Pintheft). Totes tres permetien a un usuari local sense privilegis escalar fins a root.
Cal posar el risc en context. Per explotar-les fa falta un procés maliciós executant-se dins del domini de control (dom0). En un host ben administrat, on només l’equip de sistemes toca el dom0, la superfície d’atac és limitada. Tot i així, no és una excusa per endarrerir el pedaç, sobretot en entorns on diverses persones tenen accés a la consola.
Fi del suport a ssh-rsa
Un altre canvi que pot agafar desprevingut algun administrador: el servidor SSH rebutja ara les connexions amb l’algorisme ssh-rsa, considerat obsolet des de fa temps. Si et connectes amb un client antic, la connexió fallarà.
La solució passa per fer servir un client SSH 7.2 o posterior, o bé generar parells de claus ED25519, que són l’opció recomanada avui. Si tens scripts d’automatització o eines de gestió que es connecten per SSH als hosts, revisa’ls abans d’aplicar l’actualització per no quedar-te fora.
Millores de programari
Més enllà de la seguretat, aquesta tanda porta diversos arreglaments concrets:
- XAPI afegeix passthrough de smartcards USB, útil per a entorns amb autenticació per targeta o signatura electrònica dins de les màquines virtuals.
- QEMU corregeix una possible fallada en la cerca de mapatge de memòria del convidat.
- edk2 (UEFI) soluciona problemes d’arrencada des d’unitats físiques de CD/DVD i, el més destacat, eleva el límit de vCPUs per màquina virtual de 96 a 128. Per a qui munta VMs grans de bases de dades o de càlcul, són 32 vCPUs més de marge.
- iPXE suma arrencada PXE per a VMs en mode BIOS sobre VLANs amb etiquetes de prioritat 802.1Q.
- dmidecode puja a la versió 3.6, que ja llegeix les taules de tipus 42 (Redfish).
A qui interessa
A qualsevol que tingui XCP-ng 8.3 LTS en producció, els pedaços del kernel i el canvi d’SSH ja són motiu suficient per programar l’actualització. Per a qui munta homelabs amb maquinari variat, l’arreglament d’arrencada UEFI des de CD/DVD i el suport iPXE sobre VLAN poden resoldre maldecaps concrets. I a les empreses amb càrregues pesants, el salt a 128 vCPUs per VM obre la porta a consolidar màquines que abans tocaven el sostre anterior.
Com sempre amb XCP-ng, segueix la guia oficial d’actualització i reinicia els hosts un a un respectant l’ordre del pool per no perdre disponibilitat. Si vols provar-ho abans en un entorn de proves, hi ha un fil al fòrum de la comunitat amb comentaris de qui ja l’ha desplegat.