Schadcode-Sicherheitslücken in Werbeblocker Pi-hole geschlossen

Wer in seinem Netzwerk Pi-hole zum Blockieren von Internetwerbung nutzt, sollte den Werbeblocker aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen. Andernfalls können Angreifer an mehreren Lücken ansetzen, um Computer zu attackieren.

Pi-hole fungiert als DNS-Sinkhole und blockiert durch Filterlisten das Laden von Werbeanzeigen auf Internetseiten. Optional dient Pi-hole auch als DNS-Server. Die Basis ist ein Linux-System. Oft läuft der Werbeblocker auf einem Raspberry Pi. Ein Alleinstellungsmerkmal von Pi-hole ist das zentrale Blockieren von Werbung für alle Geräte im Heimnetzwerk.

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Pi-hole-Nutzer sollten mit der Installation der Updates aber nicht zu lange warten. Der Prozess gelingt kurz und schmerzlos über den Befehl pihole up. In unserem Fall liefen die Updates auf einem Raspberry Pi Zero 2 W mit DietPi problemlos durch und der Werbeblocker schnurrt seitdem problemlos weiter.

Wichtige Sicherheitspatches

Wie aus einem aktuellen Beitrag der Entwickler hervorgeht, sind für alle drei Komponenten von Pi-hole (Core v6.4.1, FTL v6.6, Web v6.5) Updates erschienen, die neben der Beseitigung verschiedener Bugs auch mehrere Sicherheitslücken schließen.

Insgesamt haben sich die Entwickler um elf Schwachstellen gekümmert. Darunter sind etwa Stored-XSS-Lücken (wie CVE-2026-33403 „mittel“). Angreifer mit niedrigen Nutzerrechten können sich aber auch über einen nicht näher ausgeführten Weg Root-Rechte verschaffen (CVE-2026-33727 „mittel“). In so einer Position erlangen Angreifer in der Regel die volle Kontrolle über Systeme.

Am gefährlichsten gelten mehrere Schadcode-Lücken (wie CVE-2026-35521 „hoch“). Diese Schwachstellen betreffen die dhcp.hosts-Komponente von FTL. Attacken sind aus der Ferne möglich, Angreifer müssen dafür aber bereits authentifiziert sein.

(des)