個人の意見です。
脆弱性・アップデートの影響確認・対応判断などはシステム管理者各位が責任をもってしましょう。
まぁみんな本家のSA見てるだろうから知ってるだろ…ぐらいの軽い気持ちで呟いたらなんか通知がすごいことになっていました。
140字で足りないところ補足しようと思います。
本家のSAを見て!
Proxmoxの脆弱性情報などはProxmox本家コミュニティフォーラムのSA(Security Advisories)で周知されます。
ここを見るようにしましょう。
コミュニティフォーラムのアカウントを作り、通知設定すればコミュニティフォーラム・メールで通知を受け取ることができます。
昨今は以下のようなパターンもあるようで、心配になり周知してます。
この脆弱性の影響とか
この脆弱性はローカル権限昇格です。
多くの人が管理者しかPVEノード接続できないような環境にしていて、LXCは使わずにVMだけ使っている、という認識なので多くの人は対象外かなと思っています。
※逆にPVEノードを外部に公開してたり、LXCを使ってるとこの脆弱性を利用できる可能性はあります。
ただし、それはこの脆弱性単体での評価であり、他の理由(構成や脆弱性とか)でこの脆弱性が利用できてしまう可能性はあります。
4月は合計8件のSAがあり、それらにもまとめて対応する意味でもアップデートしたほうがいいと思います。
カーネルアップデートの影響
カーネルアップデートすると再起動が必要です。
即座に再起動できない場合の対応もSAに記載されています。
ちなみに、no-subscriptionリポジトリはproxmox-kernel-7.0系が降ってきますが、Enterpriseリポジトリはproxmox-kernel-6.0系の脆弱性対応版proxmox-kernel-6.17.13-6が降ってきます。
7.0系になることで別の不具合を踏むことはあるので、その点は認識しましょう。もし何かあれば本家にスレ立てしましょう。
この辺りはEnterpriseリポジトリ・サブスクリプションの価値と言えるでしょう。
不具合の一例です。本家フォーラムには他の事例もあります。
さらにちなみに、proxmox-boot-toolを使って起動カーネルを指定することもできます。
なるべくバージョンアップしよう!(PVE8.x、PBS3.xはもうすぐEOLだよ!)
定期的に発信していますが、Proxmoxはなるべく新しいバージョンを使いましょう!
本家の思想としては「便利な新機能が使えず、バギーで脆弱な古いバージョンをなんで使うの?」です。
この脆弱性対応を契機にメジャーバージョンアップした人も多いみたいですが、PVE8.xは今年の8月でEOLです。
バージョンアップは計画的に。
ライフサイクルとかEOLの影響とかメジャーバージョンアップについては以下に書いてあるのでご参考になれば幸いです。