heise PlusAbo
Anzeige
Alert!

Werbeblocker Pi-hole: Update stopft Codeschmuggel- und Rechteausweitungslücken

Die Entwickler haben den DNS-basierten Werbeblocker Pi-hole aktualisiert. Das Update stopft hochriskante Sicherheitslecks.

vorlesen Druckansicht 6 Kommentare lesen
Pi-hole-Panel mit Achtung-Schild vor blauem Mosaik-Hintergrund

(Bild: heise medien)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Programmierer des DNS-basierten Werbeblockers Pi-hole haben am Wochenende aktualisierte Pakete veröffentlicht. Sie schließen zwei Sicherheitslücken, die als hochriskant gelten.

Die Updates gelten den Komponenten Pi-hole Core und FTL (Faster-Than-Light, der DNS-Server von Pi-hole). Eine Lücke betrifft beide Komponenten und ermöglicht Angreifern, ihre Rechte auf verwundbaren Systemen auszuweiten. Die Programmierer erklären, dass der Pi-hole-User Schreibzugriff auf die zentrale Konfigurationsdatei „/etc/pihole/pihole.toml“ hat. Zwei Shell-Skripte lesen den Pfad zur „files-pid“-Datei und nutzen ihn ohne weitere Prüfungen für Installation und Löschen – und laufen dabei als root („pihole-FTL-prestart.sh“ und „pihole-FTL-poststop.sh“). Angreifer mit Pi-hole-Rechten können dadurch Dateien mit root-Rechten löschen und anlegen, und das sogar außerhalb des geschützten Verzeichnisses. Ein Beispiel nennt das Advisory, das lokale root-Rechte durch Manipulation der Authorized-Keys-Datei für SSH erreicht (CVE-2026-41489, CVSS 8.8, Risiko „hoch“).

Eine unzureichende Filterung im „dns.interface“-Konfigurationsfeld in Pi-hole FTL führt dazu, dass Zeilenumbruch-Zeichen akzeptiert werden. Angreifer können beliebige Direktiven in die dnsmasq-Konfiguration schmuggeln. Die weitverbreitete Konfiguration ohne Admin-Passwort erlaubt den API-Zugriff ohne Zugangsdaten. Bösartige Akteure können eine „dhcp-script=“-Direktive einschmuggeln und DHCP aktivieren. Sofern ein Gerät im Netzwerk ein DHCP-Lease anfragt, können dadurch beliebige Befehle ausgeführt werden (CVE-2026-39849, CVSS 8.7, Risiko „hoch“).

Verwundbare Software

Verwundbar sind Pi-hole Core und Pi-hole FTL ab Version 6.0. Die Updates auf die neuen Fassungen Pi-hole Core 6.4.2 sowie Pi-hole FTL 6.6.1 oder neuer korrigieren die sicherheitsrelevanten Fehler. Auf dem Raspberry Pi, auf dem die Software standardmäßig läuft, führt der Befehl sudo pihole -up dazu, dass der Werbeblocker sich aktualisiert.

Videos by heise

Zuletzt hatte das Pi-hole-Projekt Anfang April Sicherheitslücken geschlossen. Sie erlaubten Angreifern unter anderem das Einschleusen von Schadcode.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten