Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Werbeblocker Pi-hole: Update stopft hochriskante Sicherheitslücken

Дата публикации: 13-07-2026 08:16:00

Die Entwickler des DNS-basierten Werbeblockers Pi-hole verteilen Updates. Die schließen zum Teil hochriskante Sicherheitslücken.

Основное содержимое страницы с новостью.

Im DNS-basierten Adblocker-System Pi-hole haben die Entwickler mehrere Sicherheitslücken geschlossen. Die ermöglichen etwa die Rechteausweitung zu root oder die Übernahme von Admin-Sitzungen.

In einem Blogbeitrag haben die Pi-hole-Programmierer die Änderungen zusammengefasst und geben eine Übersicht über die geschlossenen Sicherheitslecks. Von den insgesamt sechs Schwachstellen gelten vier als hohes Risiko, eine als mittleres und eine als niedriges. User, die als „pihole“-User Code ausführen dürfen, können durch Ersetzen von „/etc/pihole/logrotate“ an root-Rechte gelangen (CVE-2026-50130, CVSS 8.8, Risiko „hoch“). Zudem war der Session-Timeout-Mechanismus faktisch wirkungslos, sodass jede jemals gültige Session-ID mit administrativem Zugang diesen dauerhaft gewährte (kein CVE-Eintrag, CVSS 8.8, Risiko „hoch“). Zudem waren Denial-of-Service-Attacken (DoS) aufgrund fehlender Ratenbegrenzung möglich (CVE-2025-62165, CVSS 7.5, Risiko „hoch“).

Angemeldete Admins konnten außerdem beliebige Befehle auf dem Pi-hole-Server ausführen, wenn Angreifer im Teleporter (das Tool zum Umzug von Pi-hole auf andere Systeme) zwei Lücken kombinierten (kein CVE-Eintrag, CVSS 7.2, Risiko „hoch“). Eine weitere Lücke erlaubte das Einschmuggeln von Befehlen, die als „pihole“-User im System ausgeführt werden (kein CVE-Eintrag, CVSS 6.6, Risiko „mittel“). Angemeldete Angreifer hätten zudem HTTP-Antwort-Header einschleusen können (kein CVE-Eintrag, CVSS 3.5, Risiko „niedrig“).

Aktualisierte Software

Die Sicherheitslücken schließen die Versionen Pi-hole-FTL v6.7, Pi-hole-Web v6.6 sowie Pi-hole-Core v6.4.3. Um die Aktualisierung auf die neuen Softwarestände durchzuführen, müssen Admins ein Terminal öffnen und darin den Befehl sudo pihole -up aufrufen. Der bringt die Komponenten auf den aktuellen Stand und startet die Dienste auch gleich neu. Interessierte finden zudem im Blogbeitrag detaillierte Änderungen und Verbesserungen an den Pi-hole-Komponenten.

Zuletzt hatte das Pi-hole-Projekt im Mai Schwachstellen im eingesetzten dnsmasq ausgebessert, durch die Angreifer etwa Schadcode hätten einschmuggeln können.

(dmk)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Google Chrome: Großes Update schließt erneut Hunderte Sicherheitslücken0501-07-2026
2Ungeschützte Wechselrichter: Hoymiles verspricht Update0515-07-2026
3openSUSE dnsmasq Important Heap Overflow Issues ID 2026-21192-10503-07-2026
4SUSE Python-lxml Moderate Info Disclosure Update Advisory 2026-2729-10503-07-2026
5Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec5724-06-2026
6SUSE CUPS Moderate Denial of Service Issues Fixed 2026-2732-10503-07-2026
7«R-Vision КИИ» получил обновление0523-06-2026
8SpaceWeb усиливает безопасность веб-разработки5719-06-2026
9В Псковской области отменили беспилотную опасность0502-07-2026
10В Крыму отменили беспилотную опасность0505-07-2026

Классификация: Общество. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 5. Источник: www.heise.de.