El equipo de XCP-ng ha publicado la primera tanda de actualizaciones de junio de 2026 para la rama 8.3 LTS. Es una actualización de mantenimiento que mezcla parches de seguridad con mejoras de software, y que requiere reiniciar los hosts para aplicarse del todo. Si administras un cluster XCP-ng, conviene planificar la ventana de mantenimiento.
Parches de seguridad del kernel
El plato fuerte son tres vulnerabilidades del kernel de Linux que se corrigen con esta actualización: CVE-2026-46300 (técnica Fragnesia), CVE-2026-46333 (ptrace_may_dream) y CVE-2026-43494 (Pintheft). Las tres permitían a un usuario local sin privilegios escalar hasta root.
Conviene matizar el riesgo real: para explotarlas hace falta un proceso malicioso ejecutándose dentro del dominio de control (dom0). En un host bien administrado, donde solo el equipo de sistemas tiene acceso al dom0, el vector de ataque es limitado. Aun así, no es una excusa para retrasar el parche, sobre todo en entornos donde varias personas tocan la consola.
Fin del soporte a ssh-rsa
Otro cambio que puede pillar desprevenido a algún administrador: el servidor SSH rechaza ahora las conexiones con el algoritmo ssh-rsa, considerado obsoleto desde hace tiempo. Si te conectas con un cliente antiguo, la conexión fallará.
La solución pasa por usar un cliente SSH 7.2 o posterior, o bien generar pares de claves ED25519, que son la opción recomendada hoy. Si tienes scripts de automatización o herramientas de gestión que se conectan por SSH a los hosts, revísalos antes de aplicar la actualización para no quedarte fuera.
Mejoras de software
Más allá de la seguridad, esta tanda trae varios arreglos concretos:
- XAPI añade passthrough de smartcards USB, útil para entornos con autenticación por tarjeta o firma electrónica en las máquinas virtuales.
- QEMU corrige un posible fallo en la búsqueda de mapeo de memoria del invitado.
- edk2 (UEFI) soluciona problemas de arranque desde unidades físicas de CD/DVD y, lo más llamativo, eleva el límite de vCPUs por máquina virtual de 96 a 128. Para quien monta VMs grandes de bases de datos o computación, son 32 vCPUs más de margen.
- iPXE suma arranque PXE para VMs en modo BIOS sobre VLANs con etiquetas de prioridad 802.1Q.
- dmidecode sube a la versión 3.6, que ya lee las tablas de tipo 42 (Redfish).
¿A quién le interesa?
A cualquiera que tenga XCP-ng 8.3 LTS en producción, los parches del kernel y el cambio de SSH son motivo suficiente para programar la actualización. Para quienes montan homelabs con hardware variado, el arreglo de arranque UEFI desde CD/DVD y el soporte iPXE sobre VLAN pueden resolver dolores de cabeza concretos. Y en empresas con cargas pesadas, el salto a 128 vCPUs por VM abre la puerta a consolidar máquinas que antes tocaban el techo anterior.
Como siempre con XCP-ng, sigue la guía oficial de actualización y reinicia los hosts uno a uno respetando el orden del pool para no perder disponibilidad. Si quieres probar antes en un entorno de pruebas, hay hilo en el foro de la comunidad con comentarios de quienes ya la han desplegado.