Die Programmierer des DNS-basierten Werbeblockers Pi-hole haben am Wochenende aktualisierte Pakete ver\u00f6ffentlicht. Sie schlie\u00dfen zwei Sicherheitsl\u00fccken, die als hochriskant gelten.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
Die Updates gelten den Komponenten Pi-hole Core und FTL (Faster-Than-Light, der DNS-Server von Pi-hole). Eine L\u00fccke betrifft beide Komponenten<\/a> und erm\u00f6glicht Angreifern, ihre Rechte auf verwundbaren Systemen auszuweiten. Die Programmierer erkl\u00e4ren, dass der Pi-hole-User Schreibzugriff auf die zentrale Konfigurationsdatei \u201e\/etc\/pihole\/pihole.toml\u201c hat. Zwei Shell-Skripte lesen den Pfad zur \u201efiles-pid\u201c-Datei und nutzen ihn ohne weitere Pr\u00fcfungen f\u00fcr Installation und L\u00f6schen \u2013 und laufen dabei als root (\u201epihole-FTL-prestart.sh\u201c und \u201epihole-FTL-poststop.sh\u201c). Angreifer mit Pi-hole-Rechten k\u00f6nnen dadurch Dateien mit root-Rechten l\u00f6schen und anlegen, und das sogar au\u00dferhalb des gesch\u00fctzten Verzeichnisses. Ein Beispiel nennt das Advisory, das lokale root-Rechte durch Manipulation der Authorized-Keys-Datei f\u00fcr SSH erreicht (CVE-2026-41489, CVSS 8.8, Risiko \u201ehoch\u201c).<\/p>\n Eine unzureichende Filterung im \u201edns.interface\u201c-Konfigurationsfeld in Pi-hole FTL f\u00fchrt dazu, dass Zeilenumbruch-Zeichen akzeptiert werden. Angreifer k\u00f6nnen beliebige Direktiven in die dnsmasq-Konfiguration schmuggeln. Die weitverbreitete Konfiguration ohne Admin-Passwort erlaubt den API-Zugriff ohne Zugangsdaten. B\u00f6sartige Akteure k\u00f6nnen eine \u201edhcp-script=\u201c-Direktive einschmuggeln und DHCP aktivieren. Sofern ein Ger\u00e4t im Netzwerk ein DHCP-Lease anfragt, k\u00f6nnen dadurch beliebige Befehle ausgef\u00fchrt werden (CVE-2026-39849<\/a>, CVSS 8.7, Risiko \u201ehoch\u201c).<\/p>\n Verwundbare Software<\/p>\n Verwundbar sind Pi-hole Core und Pi-hole FTL ab Version 6.0. Die Updates auf die neuen Fassungen Pi-hole Core 6.4.2<\/a> sowie Pi-hole FTL 6.6.1<\/a> oder neuer korrigieren die sicherheitsrelevanten Fehler. Auf dem Raspberry Pi, auf dem die Software standardm\u00e4\u00dfig l\u00e4uft, f\u00fchrt der Befehl sudo pihole -up dazu, dass der Werbeblocker sich aktualisiert.<\/p>\n Zuletzt hatte das Pi-hole-Projekt Anfang April Sicherheitsl\u00fccken<\/a> geschlossen. Sie erlaubten Angreifern unter anderem das Einschleusen von Schadcode.<\/p>\n