heise PlusAbo
Anzeige
Alert!

Werbeblocker Pi-hole: Update stopft Codeschmuggel- und RechteausweitungslĂĽcken

Die Entwickler haben den DNS-basierten Werbeblocker Pi-hole aktualisiert. Das Update stopft hochriskante Sicherheitslecks.

vorlesen Druckansicht 22 Kommentare lesen
Pi-hole-Panel mit Achtung-Schild vor blauem Mosaik-Hintergrund

(Bild: heise medien)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Programmierer des DNS-basierten Werbeblockers Pi-hole haben am Wochenende aktualisierte Pakete veröffentlicht. Sie schließen zwei Sicherheitslücken, die als hochriskant gelten.

Die Updates gelten den Komponenten Pi-hole Core und FTL (Faster-Than-Light, der DNS-Server von Pi-hole). Eine Lücke betrifft beide Komponenten und ermöglicht Angreifern, ihre Rechte auf verwundbaren Systemen auszuweiten. Die Programmierer erklären, dass der Pi-hole-User Schreibzugriff auf die zentrale Konfigurationsdatei „/etc/pihole/pihole.toml“ hat. Zwei Shell-Skripte lesen den Pfad zur „files-pid“-Datei und nutzen ihn ohne weitere Prüfungen für Installation und Löschen – und laufen dabei als root („pihole-FTL-prestart.sh“ und „pihole-FTL-poststop.sh“). Angreifer mit Pi-hole-Rechten können dadurch Dateien mit root-Rechten löschen und anlegen, und das sogar außerhalb des geschützten Verzeichnisses. Ein Beispiel nennt das Advisory, das lokale root-Rechte durch Manipulation der Authorized-Keys-Datei für SSH erreicht (CVE-2026-41489, CVSS 8.8, Risiko „hoch“).

Eine unzureichende Filterung im „dns.interface“-Konfigurationsfeld in Pi-hole FTL führt dazu, dass Zeilenumbruch-Zeichen akzeptiert werden. Angreifer können beliebige Direktiven in die dnsmasq-Konfiguration schmuggeln. Die weitverbreitete Konfiguration ohne Admin-Passwort erlaubt den API-Zugriff ohne Zugangsdaten. Bösartige Akteure können eine „dhcp-script=“-Direktive einschmuggeln und DHCP aktivieren. Sofern ein Gerät im Netzwerk ein DHCP-Lease anfragt, können dadurch beliebige Befehle ausgeführt werden (CVE-2026-39849, CVSS 8.7, Risiko „hoch“).

Videos by heise

Verwundbare Software

Verwundbar sind Pi-hole Core und Pi-hole FTL ab Version 6.0. Die Updates auf die neuen Fassungen Pi-hole Core 6.4.2 sowie Pi-hole FTL 6.6.1 oder neuer korrigieren die sicherheitsrelevanten Fehler. Auf dem Raspberry Pi, auf dem die Software standardmäßig läuft, führt der Befehl sudo pihole -up dazu, dass der Werbeblocker sich aktualisiert.

Zuletzt hatte das Pi-hole-Projekt Anfang April SicherheitslĂĽcken geschlossen. Sie erlaubten Angreifern unter anderem das Einschleusen von Schadcode.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Siehe auch:

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten