Pi-hole FTL v5.5 ist veröffentlicht – wichtiges Sicherheits-Update SOFORT einspielen

Kein Kommentar Autor: Jürgen (jdo)

Das Security-Update von Pi-hole sollte nach Möglichkeit SOFORT eingespielt werden, warnen die Entwicklerinnen und Entwickler des Netzwerk-weiten Adblockers. Bereits im September 2020 hat JSOF Research Lab sieben Security-Lücken in dnsmasq gefunden. Die Lücken-Sammlung hat sogar einen eigenen Namen bekommen und wird dnspooq genannt. Man hat sich mit Cisco, Red Hat und dem Maintainer von dnsmasq in Verbindung gesetzt und eng mit den Leuten zusammengearbeitet.

Außrdem haben sich die Parteien darauf geeinigt, dass die Security-Lücken geheim gehalten werden, bis sie ausgebessert sind. Nun gibt es ein wichtiges Sicherheits-Update für den DNS– und DHCP-Server dnsmasq, das wiederum das Herz für pihole-FTL bildet. Wann die Security-Fixes für die großen Betriebssysteme verfügbar sind, ist nicht ganz klar. Außerdem ist nicht sicher, ob die Software für ältere Betriebssysteme zurückportiert wird.

Update für Pi-hole

Für Pi-hole gibt es allerdings ein Update und Du kannst Deinen Adblocker wie immer mit einem simplen Befehl aktualisieren:

pihole -up

Das JSON Research Lab hat herausgefunden, dass dnsmasq anfällig für einen DNS-Cache-Poisoning-Angriff ist. Der Angriff dauert dabei nur wenigen Sekunden oder Minuten und kann mehrere Domain-Namen vergiften. Der Angriff ist direkt aus dem Internet möglich und betroffen sind offene dnsmasq-Instanzen. Deswegen erklären die Verantwortlichen für Pi-hole auch, dass ein öffentlicher Resolver nicht die beste Idee ist und man das mit einem VPN kombinieren sollte. Über eine FRITZ!Box ist das zum Beispiel möglich.

Zusätzlich zu dieser Lücke wurde auch eine kritische Heap-Buffer-Overflow-Lücke gefunden, mit der Remote-Code-Ausführung möglich ist. Die Lücke saß in den frühen Stufen von DNSSEC-Überprüfung und deswegen ist DNSSEC hier wirkungslos.

Weitere entdeckte Security-Lücken können lediglich zu DoS-Angriffen (Denial of Service) führen. In diesem Fall würde die DNS_Auflösung nicht mehr funktionieren. Weitere Details findest Du im Blog von Pi-hole.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.