Ctrl+K

LD 4.0 Versionen🔗

7.1.6🔗

Wichtig

LogoDIDACT erfordert eine CPU mit AVX2 (Standard seit 2013) vor dem Upgrade zwingend prüfen: root@ldhost:~ # lscpu | grep avx2

Wichtig

Im nachfolgenden finden Sie wichtige Änderungen, die einen manuellen Eingriff erfordern können.

manuelle Bestätigung der Paketquelle🔗

ldupdate schlägt fehl mit der Meldung

E: Repository 'http://archive.logodidact.com/packages/lic=xxxx-yyyy-zzzz/nginx/focal focal InRelease' changed its 'Origin' value from 'LP-PPA-ondrej-nginx-mainline' to 'LP-PPA-ondrej-nginx'
  1. Neue Paketquelle mit y bestätigen.

    root@puppeteer-g3:~ # apt update

E: Repository 'http://archive.logodidact.com/packages/lic=xxxx-yyyy-zzzz/nginx/focal focal InRelease' changed its 'Origin' value from 'LP-PPA-ondrej-nginx-mainline' to 'LP-PPA-ondrej-nginx'
N: Repository 'http://archive.logodidact.com/packages/lic=xxxx-yyyy-zzzz/nginx/focal focal InRelease' changed its 'Label' value from 'DEPRECATED PPA for NGINX Mainline: use ppa:ondrej/nginx instead' to 'PPA for NGINX Stable'
N: This must be accepted explicitly before updates for this repository can be applied. See apt-secure(8) manpage for details.
Do you want to accept these changes and continue updating from this repository? [y/N]

Allgemeiner Hinweis🔗

Die Aktualisierung auf die Puppet-Version 7.1.6 bringt einen neuen LXC-Container unifi-g3 mit. Es handelt sich hierbei um einen optionalen Container, der die neueste Version der UniFi Controller-Software 10.2.x bereitstellt.

Falls das Update von einer alten Puppet-Version erfolgt, lesen Sie sich zur Sicherheit auch die Update-Hinweise zur vorherigen Version im Archiv durch. Zum Beispiel, wenn relution noch nicht in einem Ubuntu 24.04 Noble basierten LXC-Container läuft.

Überblick der Änderungen🔗

Im Rahmen dieses Updates werden mehrere Komponenten aktualisiert und Gegenmaßnahmen zu Sicherheitslücken am Server eingespielt.

  • Aktualisierung Keycloak auf Version 26.6.1

  • Aktualisierung Nextcloud auf Version 32.0.8

  • Veröffentlichung eines neuen LXC-Containers unifi-g3, der auf Ubuntu Noble aufbaut und die UniFi Controller Software in der Version 10.2.105 bereitstellt. Für die Migration zur neuesten Version UniFi Network Application ist es erforderlich, eine UniFi Sicherungsdatei des unifi-g2 zu erzeugen und diese Datei zum Wiederherstellen der Einstellungen im unifi-g3 zu verwenden.

  • Korrektur zum Laden des LDAP-Konfigurationsprofils bei Neuerstellung des LXC-Containers nextcloud-g2

  • Blacklisting des Linux Kernel-Moduls algif_aead für Mitigation gegen Copy.Fail Sicherheitslücke (CVE-2026-31431)

  • Blacklisting der Linux Kernel-Module esp4, esp6, rxrpc für Mitigation gegen Dirty Frag Sicherheitslücke (CVE-2026-43284)

  • Sicherheitsupdate für Unauthenticated-RCE vulnerability in Komponente ld-control-agent, RMI registry binding ab Version 26.5 auf ‚localhost‘ geändert

Sichern und Wiederherstellen der UniFi Controller Einstellungen🔗

Seit UniFi Network Application 10.1.x besteht eine Abhängigkeit zur Java-Laufzeitumgebung 25, weshalb ein neuer LXC basierend auf Ubuntu 24.04 Noble zur Verfügung gestellt wird.

  1. Sicherungsdatei der Einstellungen vom bisherigen UniFi Controller unifi-g2 beschaffen

    Abhängig von den Systemeinstellungen besteht die Möglichkeit, dass automatische Backups für den UniFi Controller aktiviert sind. Es lohnt sich daher ein Blick in den folgenden Ordner:

    root@ldhost:~ # ls -l /var/lib/lxc.data/unifi-g2/unifi/backup/autobackup/

    Beispielinhalt:
    -rw-r--r-- 1 900 900 1676512 Mar  1 00:00 autobackup_10.0.162_20260228_2300_1772319600011.unf
-rw-r--r-- 1 900 900 1676464 Apr  1 00:00 autobackup_10.0.162_20260331_2200_1774994400019.unf
-rw-r--r-- 1 900 900 1676496 May  1 00:00 autobackup_10.0.162_20260430_2200_1777586400025.unf

    Über den Zeitstempel kann man auf die neueste Sicherungsdatei schließen. Falls kein geeignetes Backup zur Verfügung steht, kann die Sicherungsdatei über die Weboberfläche des UniFi-Controllers frisch erzeugt werden. Dies kann durch Aufrufen der Menüpunkte SettingsSystemReiter Backups und Klick auf den Button Download im Browser ausgelöst werden.

  2. Nach dem üblichen Verfahren per ldupdate auf den LogoDIDACT Server auf die neuste Version 7.1.6 aktualisieren

    root@puppeteer-g3:/etc/logodidact # ldupdate

  3. Im puppeteer-g3 nach dem Update festlegen, dass der unifi-g3 Container aufgebaut wird und den älteren LXC in diesem Zuge deaktivieren

    /etc/logodidact/hiera/custom.d/ldhost.yaml🔗
        profile::lxc::host:
      guests:
      ...
        unifi-g2:
          ensure: reserve
        unifi-g3:
          ensure: running
      ...

  4. Konfigurationsänderungen ins git commiten

    root@puppeteer-g3:/etc/logodidact # git add .

    root@puppeteer-g3:/etc/logodidact # git commit -am "unifi-g3 als LXC aktiviert sowie unifi-g2 deaktiviert"

  5. puppet Zertifikate für unifi-g2 löschen

    root@puppeteer-g3:~ # puppet-master-remove-client unifi-g2

  6. unifi-g2 Container im ldhost löschen

    root@ldhost:~ # systemctl stop lxc@unifi-g2

    root@ldhost:~ # lxc-destroy -n unifi-g2

  7. unifi-g3 Container aufbauen lassen

    root@ldhost:~ # prun

  8. Warten, bis alles aufgebaut ist, prüfen innerhalb des unifi-g3 Containers

    root@unifi-g3:~ # systemctl status unifi.service | grep active

    Active: active (running) since Wed 2026-05-07 17:04:40 CEST; 41s ago

  9. Geänderte Einstellungen durch einen gprun verteilen.

    Hierbei werden DHCP43-Optionen im logosrv angepasst, um die UniFi-Geräte im Netzwerk zum neuen Controller zu lenken und ebenfalls wird der unifi-g3 im lokalen Reverse-Proxy (rproxy-int) per URL erreichbar gemacht.

    root@ldhost:~ # gprun

  10. Im Browser die UniFi Network Application des unifi-g3 aufrufen

    Beispiel-URL: https://unifi-g3.SCHULKUERZEL.logoip.de

    Es öffnet sich der UniFi Einrichtungsassistent. Im unteren Fensterbereich besteht die Möglichkeit, über den Link Restore Server from a Backup die Einstellungen aus der Sicherungsdatei wiederherzustellen, was an dieser Stelle durch Upload der Datei durchzuführen ist.

    Nach etwas Wartezeit sind alle Einstellungen wiederhergestellt und es erscheint im Browser durch Neuladen der Seite stattdessen die übliche UniFi Anmeldemaske. Hier mit den vormaligen Zugangsdaten eine Anmeldung durchführen und kontrollieren, ob im Bereich der Devices alle UniFi-Geräte (WLAN-AccessPoints, Switches, usw.) gelistet werden.

    Sollten die Geräte hier aufgelistet sein, aber als offline ohne Verbindung angezeigt werden, kann ein Neustarten der UniFi-Geräte helfen, bei dem sie ihren DHCP-Lease erneuern.

    Bei Bedarf kann temporär die frühere IPv4-Adresse des Controllers zum unifi-g3 LXC-Container hinzugefügt werden, um die UniFi-Geräte wieder direkt verbinden zu lassen.

    root@unifi-g3:~ # ip address add $(hostname -I | awk -F'.' '{print $1"."$2"."$3".50"}') dev servernet

    Nach eigenem Ermessen können weitere Einstellungen überprüft werden.

Archive🔗

Archiv mit vorherigen Versionen.

On this page