HomeLab

Global HomeLab News: Ложные срабатывания AV на пакете lxc-pve 7.0.0-1 в pve-no-subscription

18 мая 2026, 12:02
Global HomeLab News: Ложные срабатывания AV на пакете lxc-pve 7.0.0-1 в pve-no-subscription

В сообществе Proxmox зафиксирован повторяющийся кейс: межсетевые экраны и отдельные AV-движки помечают пакет lxc-pve_7.0.0-1_amd64.deb как вредоносный и блокируют обновление. По обсуждению администраторы видят совпадающий SHA256 и склоняются к false positive, но часть команд отложила апдейт до официальных разъяснений.

Что произошло

Пользователи r/Proxmox сообщили о блокировке обновления из pve-no-subscription с ошибками на стороне защитного периметра (в частности Sophos). В нескольких независимых постах фигурирует один и тот же пакет lxc-pve_7.0.0-1_amd64.deb и одинаковый SHA256-хеш. Сценарий типовой: apt upgrade прерывается, прокси/UTM отдает блокировку, в VirusTotal есть частичные срабатывания.

Технические детали

  • Затронутый артефакт: lxc-pve_7.0.0-1_amd64.deb.
  • Канал доставки: репозиторий pve-no-subscription.
  • Симптом: блокировка загрузки пакета на уровне AV/Firewall, при этом пакет доступен по прямому URL.
  • По данным из обсуждений, опубликован SHA256:
  • bba98be326313bfb0ac4eb86229e427f74068c9a4c5bfc665f63109feb6ac21b
  • Практический вывод из тредов: проблема выглядит как репутационное/эвристическое срабатывание отдельных сигнатурных движков, а не подтвержденный компромисс репозитория.

Риски и ограничения

  • До официального вендорного подтверждения риск supply-chain инцидента нельзя считать нулевым.
  • Если форсировать апдейт без верификации подписи и хешей, можно нарушить требования внутренней безопасности.
  • Если полностью стопорить обновления, растет окно уязвимости по другим пакетам хоста.
  • В средах с inline-фильтрацией трафика возможны «плавающие» отказы обновлений между узлами кластера (неодинаковые политики/кэши).

Практика для HomeLab (чеклист)

  • [ ] Зафиксировать событие в журнале изменений: время, узел, пакет, источник блокировки (FW/Proxy/EDR).
  • [ ] Проверить подписи и контрольные суммы до установки:
    bash apt download lxc-pve sha256sum lxc-pve_7.0.0-1_amd64.deb dpkg-sig --verify lxc-pve_7.0.0-1_amd64.deb || true
  • [ ] Сверить хеш с несколькими независимыми источниками (минимум: второй узел/другая сеть + официальный канал Proxmox).
  • [ ] Проверить, не ломает ли фильтрация только один security-stack (пример: Sophos policy/profile), и при необходимости создать временное узкое исключение по SHA256.
  • [ ] На кластере Proxmox обновлять поэтапно: 1 узел → наблюдение → остальные узлы.
  • [ ] Перед апдейтом LXC-компонентов: актуальный backup + тест восстановления в отдельный CT ID.
  • [ ] Критерии успешной проверки:
  • пакет скачивается без блокировки;
  • SHA256 совпадает на нескольких узлах;
  • apt upgrade завершается без ошибок;
  • контейнеры запускаются штатно после обновления.

Источник:
- https://www.reddit.com/r/Proxmox/comments/1tge2n9/lxcpve_7001_amd64deb_compromised/
- https://www.reddit.com/r/Proxmox/comments/1tdjn28/sophos_firewall_marked_an_update_for_my_proxmox/

Ко всем постам