Keine Paywall
MfG
Jürgen
[Heise Newsticker] PiHole Sicherheitslücken geschlossen? Schau mal ob du hier fündig wirst!
Wer in seinem Netzwerk Pi-hole zum Blockieren von Internetwerbung nutzt, sollte den Werbeblocker aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen. Andernfalls können Angreifer an mehreren Lücken ansetzen, um Computer zu attackieren.
Pi-hole fungiert als DNS-Sinkhole und blockiert durch Filterlisten das Laden von Werbeanzeigen auf Internetseiten. Optional dient Pi-hole auch als DNS-Server. Die Basis ist ein Linux-System. Oft läuft der Werbeblocker auf einem Raspberry Pi. Ein Alleinstellungsmerkmal von Pi-hole ist das zentrale Blockieren von Werbung für alle Geräte im Heimnetzwerk.
Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Pi-hole-Nutzer sollten mit der Installation der Updates aber nicht zu lange warten. Der Prozess gelingt kurz und schmerzlos über den Befehl pihole up. In unserem Fall liefen die Updates auf einem Raspberry Pi Zero 2 W mit DietPi problemlos durch und der Werbeblocker schnurrt seitdem problemlos weiter.
Wichtige Sicherheitspatches
Wie aus einem aktuellen Beitrag der Entwickler hervorgeht, sind für alle drei Komponenten von Pi-hole (Core v6.4.1, FTL v6.6, Web v6.5) Updates erschienen, die neben der Beseitigung verschiedener Bugs auch mehrere Sicherheitslücken schließen.
Insgesamt haben sich die Entwickler um elf Schwachstellen gekümmert. Darunter sind etwa Stored-XSS-Lücken (wie CVE-2026-33403 „mittel“). Angreifer mit niedrigen Nutzerrechten können sich aber auch über einen nicht näher ausgeführten Weg Root-Rechte verschaffen (CVE-2026-33727 „mittel“). In so einer Position erlangen Angreifer in der Regel die volle Kontrolle über Systeme.
Am gefährlichsten gelten mehrere Schadcode-Lücken (wie CVE-2026-35521 „hoch“). Diese Schwachstellen betreffen die dhcp.hosts-Komponente von FTL. Attacken sind aus der Ferne möglich, Angreifer müssen dafür aber bereits authentifiziert sein.
Also wer seinen Pi-Hole zuhause im eigenen Netzwerk ohne direkten Zugriff von außen laufen lässt, ist wohl nicht betroffen ?
Ich habe mir die CVEs nicht angesehen. Aber es gibt ja auch Crosssitescriptingprobleme und ähnliches. Dabei musst Du nur Dein PiHole zusammen mit einer kompromitierten Webseite im Browser aktiv haben.
Im Grunde ist es nicht eine Frage, ob es Sicherheitslücken gibt (die Antwort lautet für komplexere Systeme immer Ja),
sondern: wurden/werden sie aktiv ausgenutzt (oftmals: Ja)
und war dein System davon betroffen (hoffentlich: Nein)
Echt kritisch wird es, wenn eine Lücke ihren Weg in den "Mainstream" findet und per Default in die Massenangriffe genutzt wird (was juckt es Max Mustermann, wenn der israelische Geheimdienst als einziger von der Lücke weiß und diese nutzt?).
Hinzu kommt die Omnipräsenz des Web in dem heutigen Alltag, und auch gerade bei so webspezifischen Szenarien wie PiHole
Das ist einer der Gründe,
warum ich einen Raspverry Pi 5 einem Billig-PC (mit mehr Wumms) vorziehe: ich kriege zeutnah Updates für Soft- und Firmware
und bei jedem (ersten) Start (des Tages) Updates ziehe
und mein OS bei einer neuen Majorversion neu aufsetze und kein Full-Upgrade durchführe.
Wir schreiben oft: kein Backup, kein Mitleid - und im Grunde sollten wir auch das Verständnis haben: kein Update, kein Mitleid.
Ich hoffe, dass der Bug vor dem Mißbrauch entdeckt und nach dem Fix bekannt wurde.
Don’t have an account yet? Register yourself now and be a part of our community!
