Die Programmierer des DNS-basierten Werbeblockers Pi-hole haben am Wochenende aktualisierte Pakete veröffentlicht. Sie schließen zwei Sicherheitslücken, die als hochriskant gelten.

Die Updates gelten den Komponenten Pi-hole Core und FTL (Faster-Than-Light, der DNS-Server von Pi-hole). Eine Lücke betrifft beide Komponenten und ermöglicht Angreifern, ihre Rechte auf verwundbaren Systemen auszuweiten. Die Programmierer erklären, dass der Pi-hole-User Schreibzugriff auf die zentrale Konfigurationsdatei „/etc/pihole/pihole.toml“ hat. Zwei Shell-Skripte lesen den Pfad zur „files-pid“-Datei und nutzen ihn ohne weitere Prüfungen für Installation und Löschen – und laufen dabei als root („pihole-FTL-prestart.sh“ und „pihole-FTL-poststop.sh“). Angreifer mit Pi-hole-Rechten können dadurch Dateien mit root-Rechten löschen und anlegen, und das sogar außerhalb des geschützten Verzeichnisses. Ein Beispiel nennt das Advisory, das lokale root-Rechte durch Manipulation der Authorized-Keys-Datei für SSH erreicht (CVE-2026-41489, CVSS 8.8, Risiko „hoch“).

Eine unzureichende Filterung im „dns.interface“-Konfigurationsfeld in Pi-hole FTL führt dazu, dass Zeilenumbruch-Zeichen akzeptiert werden. Angreifer können beliebige Direktiven in die dnsmasq-Konfiguration schmuggeln. Die weitverbreitete Konfiguration ohne Admin-Passwort erlaubt den API-Zugriff ohne Zugangsdaten. Bösartige Akteure können eine „dhcp-script=“-Direktive einschmuggeln und DHCP aktivieren. Sofern ein Gerät im Netzwerk ein DHCP-Lease anfragt, können dadurch beliebige Befehle ausgeführt werden (CVE-2026-39849, CVSS 8.7, Risiko „hoch“).

Verwundbare Software

Verwundbar sind Pi-hole Core und Pi-hole FTL ab Version 6.0. Die Updates auf die neuen Fassungen Pi-hole Core 6.4.2 sowie Pi-hole FTL 6.6.1 oder neuer korrigieren die sicherheitsrelevanten Fehler. Auf dem Raspberry Pi, auf dem die Software standardmäßig läuft, führt der Befehl sudo pihole -up dazu, dass der Werbeblocker sich aktualisiert.

Zuletzt hatte das Pi-hole-Projekt Anfang April Sicherheitslücken geschlossen. Sie erlaubten Angreifern unter anderem das Einschleusen von Schadcode.

(dmk)

Nach Berichten über zum Verkauf angebotene Datensätze der UK Biobank auf Alibaba hat die britische Regierung eingegriffen und eine Untersuchung eingeleitet. Die oberste Datenschützerin des Landes fordert eine umfassende Aufklärung. Die UK Biobank gilt als eines der weltweit wichtigsten Projekte für biomedizinische Forschung. Freiwillige stellen dort seit vielen Jahren Gesundheits- und Genomdaten zur Verfügung, die Forschern weltweit zugänglich gemacht werden.

Wie Ian Murray, Minister of State, erklärte, hatte die UK Biobank die Regierung bereits am 20. April darüber informiert, dass mehrere Angebote auf Alibaba-Plattformen entdeckt worden waren. „Die Biobank teilte uns mit, dass drei Angebote identifiziert worden seien, die offenbar Daten von Teilnehmern der UK Biobank zum Verkauf anbieten. Mindestens einer dieser drei Datensätze scheint Daten von allen 500.000 Freiwilligen der UK Biobank zu enthalten“, heißt es von Murray. Weitere Angebote beträfen die „Unterstützung bei der Beantragung eines rechtmäßigen Zugangs zur UK Biobank oder analytische Unterstützung für Forscher, die bereits Zugang zu den Daten haben“. Nach einem Gespräch mit dem Anbieter der Daten geht die Regierung nicht davon aus, dass es zu Verkäufen gekommen sei.

Zugänge gesperrt und Datenzugriff vorerst gestoppt

Nach Bekanntwerden des Vorfalls wurden mehrere Sofortmaßnahmen eingeleitet. Gemeinsam mit der UK Biobank, den Plattformbetreibern und chinesischen Behörden seien die Angebote zügig entfernt worden. Zugleich wurde den Forschungseinrichtungen, die als mögliche Quelle der Daten identifiziert wurden, entzogen.

Darüber hinaus wurde der Zugriff auf die UK Biobank vorübergehend pausiert. Downloads sind derzeit gestoppt, bis technische Maßnahmen implementiert sind, die ein unkontrolliertes Herunterladen künftig verhindern sollen. Die Organisation hat sich zudem selbst bei der britischen Datenschutzaufsicht (ICO) gemeldet.

Datenschützerin fordert Transparenz

Die National Data Guardian, Nicola Byrne, reagierte mit deutlicher Kritik. Es sei „zutiefst besorgniserregend“, dass Gesundheitsdaten, die Menschen im Vertrauen auf sichere Nutzung bereitgestellt hätten, offenbar online zum Verkauf standen. Nun müsse vollständig aufgeklärt werden, wie es dazu kommen konnte und welche Konsequenzen gezogen werden.

Teilnehmende hätten ein Recht auf klare Informationen darüber, was passiert ist und wie ähnliche Vorfälle künftig verhindert werden sollen. Nur durch Transparenz und konsequentes Handeln lasse sich das Vertrauen in datengetriebene Gesundheitsforschung aufrechterhalten.

Vertrauensfrage für internationale Gesundheitsforschung

Die Regierung bezeichnete den Vorfall als „inakzeptablen Missbrauch“ der Daten und des Vertrauens der Teilnehmenden. Gleichzeitig kündigte sie neue Leitlinien für den Umgang mit Forschungsdaten an. Noch ist unklar, wie die Datensätze konkret in die Hände der Anbieter gelangt sind. Eine umfassende Untersuchung läuft. Die Regierung betont, dass die angebotenen Daten keine Informationen wie Namen, Adressen oder Kontaktdaten enthalten hätten. Zudem gebe es derzeit keine Hinweise darauf, dass die Datensätze tatsächlich verkauft wurden.

Auch die UK Biobank selbst kündigt an, die Sicherheitsmaßnahmen zu erhöhen. Außerdem hofft sie, die Patientinnen und Patienten durch die bereits eingeleiteten Maßnahmen zu beruhigen: „Ihre personenbezogenen Daten bei der UK Biobank sind sicher und geschützt“, heißt es in einer Nachricht des Chefs der Biobank, Professor Sir Rory Collins, an die Patienten. Je nach Art der Gesundheitsdaten ist das nach Sicht von Experten jedoch nicht ganz einfach.

In Deutschland ist der Zugang zu solchen Daten bislang deutlich restriktiver geregelt. Forschungsdaten werden typischerweise in kontrollierten Umgebungen wie sogenannten Datenintegrationszentren bereitgestellt, häufig ohne die Möglichkeit, Rohdaten einfach herunterzuladen.

Gleichzeitig gibt es jedoch vor allem aus der Industrie, etwa von Bayer, zunehmende Kritik an der Komplexität und Strenge dieser Verfahren. Nutzer aus der Industrie bemängeln beispielsweise beim Forschungsdatenportal Gesundheit, dass der Zugang zu Daten teils schwer nachvollziehbar, fragmentiert und wenig nutzerfreundlich sei.

Beim Forschungsdatenzentrum Gesundheit – gegen das aktuell eine Klage der Gesellschaft für Freiheitsrechte läuft – sind bereits zahlreiche Anträge auf Datenzugang, mehrheitlich aus der Industrie, eingegangen. Gleichzeitig wird noch an dem sicheren Zugang bestimmter Daten gefeilt. Immer wieder wird auch hier kritisiert, dass es an Transparenz gegenüber den Versicherten fehlt. Für Herbst 2026 ist die Ausleitung von Daten aus der elektronischen Patientenakte geplant.

(mack)

„Pack2TheRoot“: So nennt das Telekom-Security-Team eine kürzlich entdeckte Sicherheitslücke in PackageKit, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Betroffen sind mehrere Linux-Distributionen in ihrer Standardkonfiguration.

Das meldet die Telekom auf ihren Sicherheitsseiten. PackageKit ist ein Abstraktions-Layer für D-Bus zum eigentlich sicheren Verwalten von Paketen für beliebige Distributionen und Architekturen. Die Schwachstelle ermöglicht Angreifern mit geringen Rechten im System, Systempakete zu installieren oder zu entfernen – ohne dazu befugt zu sein. Dadurch können bösartige Akteure unter anderem root-Rechte erlangen oder das System auf andere Weise kompromittieren.

Die Sicherheitslücke beruht auf einem Time-of-Check-Time-of-Use-Fehler (TOCTOU), einer Race Condition für Transaktions-Flags, genauer den transaction->cached_transaction_flags. Drei Fehler im Code führen dazu, dass die Flags überschreibbar sind, und zwar zwischen dem Zeitpunkt der Autorisierung und der Ausführung (CVE-2026-41651, CVSS 8.8, Risiko „high“). Das Risiko ist somit nur ganz knapp nicht als kritisch einzusortieren.

Korrigierte Software

Betroffen ist PackageKit demnach in den Versionen 1.0.2 bis 1.3.4. Mit Stand 1.3.5 oder neuer haben die Entwickler die Sicherheitslücken gestopft. Die Softwareverwaltung insbesondere der größeren Distributionen hält seit dem 22. April 2026 aktualisierte Pakete bereit, die IT-Verantwortliche zeitnah anwenden sollten. Die Telekom deutet einen Proof-of-Concept an, veröffentlicht ihn zur Sicherheit aber (noch) nicht.

Die Telekom-IT-Forscher haben mit Unterstützung von Anthropics Claude Opus die Schwachstelle aufgespürt. Das ist ein weiterer Hinweis, dass Schwachstellensuche mit KI inzwischen ordentliche Ergebnisse liefert. Viele Projekte stellen aber aufgrund der zahlreichen KI-Meldungen die Prämienzahlung für Fehlerberichte ein. Auslöser für die Suche war ein ungewöhnliches Verhalten von „pkcon install“ auf einer Fedora-Workstation, das ein Systempaket ohne das Bereitstellen eines Passworts installieren konnte.

Betroffen sind mehrere Linux-Distributionen in ihrer Standardinstallation. Die Telekom listet Debian Desktop Trixie 13.4, Fedora 43 Desktop und Server, RockyLinux Desktop 10.1, Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS Beta) und schließlich Ubuntu Server 22.04 – 24.04 (LTS). Das sind zumindest die Distributionen, die die IT-Forscher explizit getestet haben. Es sei jedoch vernünftig anzunehmen, dass alle Distributionen verwundbar sind, die PackageKit ausliefern und es standardmäßig aktivieren.

(dmk)