A equipe do Incus anunciou a disponibilização da versão Incus 7.2, trazendo um conjunto diversificado de funcionalidades, melhorias de desempenho e correções de bugs. A atualização pode ser testada online em Linux Containers – Incus – Try it online.
Correções de segurança críticas
A nova versão resolve 8 vulnerabilidades classificadas como críticas ou altas:
| CVE | Nível | Descrição resumida |
|---|---|---|
| CVE‑2026‑48749 | Crítica | Leitura/escrita arbitrária de arquivos no host via symlink rootfs/ em imagem maliciosa |
| CVE‑2026‑48750 | Crítica | Escrita arbitrária de arquivos no host via symlink exec-output em imagem manipulada |
| CVE‑2026‑48751 | Crítica | Bypass de restrição de projeto que permite execução arbitrária de comandos |
| CVE‑2026‑48752 | Crítica | Leitura/escrita arbitrária via symlink templates/ em imagem maliciosa |
| CVE‑2026‑48755 | Crítica | Injeção de argumentos no algoritmo de compressão de backup, levando a escrita de arquivos e execução de comandos |
| CVE‑2026‑48769 | Crítica | Escrita arbitrária no cliente por causa de hash de imagem confiável |
| CVE‑2026‑55621 | Alta | Bypass de restrição de projeto ao copiar volumes personalizados entre projetos |
| CVE‑2026‑55622 | Alta | Bypass de restrição de projeto ao copiar instâncias entre projetos |
Novas funcionalidades
SELinux por instância
Incus agora oferece confinamento SELinux individual para contêineres e máquinas virtuais, com alocação automática de níveis MCS (Multi‑Category Security). Foram adicionadas quatro chaves de configuração:
security.selinux.domain– Sobrescreve o domínio de processo SELinux.security.selinux.type– Define o tipo de arquivo SELinux usado no storage da instância.security.selinux.level– Define o nível MCS.security.selinux.label_rootfs– Controla a rotulagem do rootfs (auto,alwaysounever).
O contexto calculado é armazenado em volatile.selinux.context, garantindo estabilidade entre reinicializações. Mais detalhes em Instance options – Incus documentation.
Novo comando padrão da CLI
Foi incluído o subcomando incus default para gerenciar opções padrão da linha de comando (ex.: list_format, console_type). Exemplo de uso:
incus default set list_format=compact
incus storage list
incus default unset list_format
A documentação foi atualizada para refletir essas opções.
Visualização filtrada de informações do servidor
incus info passa a exibir, por padrão, uma visão filtrada que substitui chaves privadas, certificados e tokens por SENSITIVE. Para revelar esses dados, use a flag --show-sensitive. A saída também mostra apenas a contagem de extensões da API, tornando o comando mais conciso.
Keepalive configurável via CLI
O subcomando incus remote set-keepalive permite definir ou desativar o timeout de keep‑alive nas conexões remotas, acelerando interações em ambientes de alta latência.
incus remote set-keepalive my-remote 30 # 30 s
incus remote set-keepalive my-remote 0 # desativar
Configuração de CLI por sistema operacional
A CLI passou a usar diretórios nativos:
- macOS →
~/Library/Application Support/incus/ - Windows →
%APPDATA%\incus
A migração ocorre automaticamente no primeiro uso.
Atualização de certificado em servidores standalone
O novo comando incus admin update-certificate substitui o certificado de servidores não clusterizados, equivalente ao incus cluster update-certificate mas sem necessidade de acessar /var/lib/incus/ manualmente.
Configuração estática de rede para contêineres OCI
Contêineres OCI podem ter endereços IPv4/IPv6 configurados estaticamente via chaves ipv4.address, ipv6.address, ipv4.gateway e ipv6.gateway. Também é possível definir DNS inicial com oci.dns.nameservers, oci.dns.domain e oci.dns.search.
incus create docker:nginx my-nginx
incus config set my-nginx oci.dns.nameservers=1.0.0.1,1.1.1.1 oci.dns.domain=example.net
incus config device override my-nginx eth0 ipv4.address=10.10.10.2/24 ipv4.gateway=10.10.10.1
incus start my-nginx
Anúncio de rotas BGP por instância
Pontes gerenciadas ganharam as chaves bgp.ipv4.instances e bgp.ipv6.instances. Quando habilitadas, Incus anuncia rotas /32 (IPv4) ou /128 (IPv6) via BGP para cada instância em execução, retirando a rota ao parar a instância.
Proxy NAT com endereços dinâmicos
Dispositivos proxy em modo NAT podem usar endereços dinâmicos e wildcard (0.0.0.0) para o listen, eliminando a necessidade de especificar o IP da instância.
incus launch docker:nginx my-nginx
incus config device add my-nginx http-80 proxy listen=tcp:0.0.0.0:1234 connect=tcp:0.0.0.0:80 nat=true
Acesso NBD expandido a VMs
O endpoint GET /1.0/instances/{name}/nbd expõe todos os discos de uma VM via NBD, permitindo conexões simultâneas. O comando incus debug nbd facilita o teste.
incus start v1
incus debug nbd v1 # escuta em 127.0.0.1:36539
Compressão Btrfs por volume
A chave btrfs.compression foi adicionada ao driver Btrfs, aceitando valores como zstd, lzo, zlib ou none. Também permite sobrescrever a compressão de um filesystem existente e desativar compressão para habilitar a flag nocow em discos de VMs.
Configuração GUID SR‑IOV para InfiniBand
Dispositivos InfiniBand do tipo sriov suportam as chaves node_guid e port_guid, que alteram o GUID da VF alocada ao iniciar a instância e restauram o valor original ao parar.
Restrição de origem em WebSockets
A nova chave de configuração do servidor core.https_allowed_websocket_origin aceita uma lista separada por vírgulas ou o curinga *, controlando quais origens podem estabelecer conexões WebSocket.
Registro de funções diferidas
A liberação de recursos diferidos agora gera logs de nível WARNING, facilitando a detecção de fechamentos de arquivos, sockets ou corpos de resposta que antes eram descartados silenciosamente.
Onde encontrar o changelog completo
A lista completa de commits está disponível no repositório oficial e inclui traduções para diversos idiomas (grego, indonésio, francês, alemão, chinês, russo, sueco, italiano, tamil, espanhol, japonês, georgiano, holandês, norueguês e português).
Para detalhes técnicos e instruções de migração, consulte a documentação oficial em Incus Documentation.
Incus 7.2 está pronto para ser adotado em ambientes de produção, oferecendo maior segurança, controle granular de SELinux e uma experiência de linha de comando mais intuitiva.