Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Werbeblocker Pi-hole: Update stopft hochriskante Sicherheitslücken

Дата публикации: 13-07-2026 08:16:00

Die Entwickler des DNS-basierten Werbeblockers Pi-hole verteilen Updates. Die schließen zum Teil hochriskante Sicherheitslücken.

Основное содержимое страницы с новостью.

Im DNS-basierten Adblocker-System Pi-hole haben die Entwickler mehrere Sicherheitslücken geschlossen. Die ermöglichen etwa die Rechteausweitung zu root oder die Übernahme von Admin-Sitzungen.

In einem Blogbeitrag haben die Pi-hole-Programmierer die Änderungen zusammengefasst und geben eine Übersicht über die geschlossenen Sicherheitslecks. Von den insgesamt sechs Schwachstellen gelten vier als hohes Risiko, eine als mittleres und eine als niedriges. User, die als „pihole“-User Code ausführen dürfen, können durch Ersetzen von „/etc/pihole/logrotate“ an root-Rechte gelangen (CVE-2026-50130, CVSS 8.8, Risiko „hoch“). Zudem war der Session-Timeout-Mechanismus faktisch wirkungslos, sodass jede jemals gültige Session-ID mit administrativem Zugang diesen dauerhaft gewährte (kein CVE-Eintrag, CVSS 8.8, Risiko „hoch“). Zudem waren Denial-of-Service-Attacken (DoS) aufgrund fehlender Ratenbegrenzung möglich (CVE-2025-62165, CVSS 7.5, Risiko „hoch“).

Angemeldete Admins konnten außerdem beliebige Befehle auf dem Pi-hole-Server ausführen, wenn Angreifer im Teleporter (das Tool zum Umzug von Pi-hole auf andere Systeme) zwei Lücken kombinierten (kein CVE-Eintrag, CVSS 7.2, Risiko „hoch“). Eine weitere Lücke erlaubte das Einschmuggeln von Befehlen, die als „pihole“-User im System ausgeführt werden (kein CVE-Eintrag, CVSS 6.6, Risiko „mittel“). Angemeldete Angreifer hätten zudem HTTP-Antwort-Header einschleusen können (kein CVE-Eintrag, CVSS 3.5, Risiko „niedrig“).

Aktualisierte Software

Die Sicherheitslücken schließen die Versionen Pi-hole-FTL v6.7, Pi-hole-Web v6.6 sowie Pi-hole-Core v6.4.3. Um die Aktualisierung auf die neuen Softwarestände durchzuführen, müssen Admins ein Terminal öffnen und darin den Befehl sudo pihole -up aufrufen. Der bringt die Komponenten auf den aktuellen Stand und startet die Dienste auch gleich neu. Interessierte finden zudem im Blogbeitrag detaillierte Änderungen und Verbesserungen an den Pi-hole-Komponenten.

Zuletzt hatte das Pi-hole-Projekt im Mai Schwachstellen im eingesetzten dnsmasq ausgebessert, durch die Angreifer etwa Schadcode hätten einschmuggeln können.

(dmk)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1openSUSE dnsmasq Important Heap Overflow Issues ID 2026-21192-10503-07-2026
2Ungeschützte Wechselrichter: Hoymiles verspricht Update0515-07-2026
3Ungeschützte Wechselrichter: Hoymiles verspricht Update0515-07-2026
4Google Chrome: Großes Update schließt erneut Hunderte Sicherheitslücken0501-07-2026
5SUSE Python-lxml Moderate Info Disclosure Update Advisory 2026-2729-10503-07-2026
6SUSE CUPS Moderate Denial of Service Issues Fixed 2026-2732-10503-07-2026
7Schon wieder: Forscher leakt Zero-Day für Windows0510-06-2026
8SonicWall SMA1000: Angriffe auf teils kritische Zero-Day-Lücken-2615-07-2026
9Passwort-Manager LastPass warnt erneut vor Datenleck-2625-06-2026
10Sparkassen-Phishing mit angeblicher Aktualisierung der Daten-2609-06-2026

Классификация: Общество. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 5. Источник: www.heise.de.