Pi-hole FTL v5.7 und Web v5.4 – verbesserter Schutz gegen DoS-Angriffe

Es gibt eine neue Version des Adblockers für das gesamte Netzwerk – ab sofort stehen Pi-hole FTL v5.7 und Web v5.4 zur Verfügung. Vor allen Dingen im Security-Bereich ist diese Version interessant.

Pi-hole FTL v5.7 und Web v5.4

Sicherheitslücken im Web Interface bereinigt

Die ausgebesserten Schwachstellen in der Web-Schnittstelle sind weniger dramatisch, solange sich Pi-hole nicht offen im Web befindet. Mithilfe von JavaScript-Code hätte ein Angreifer die Login-Siztung stehlen können.

Die Fehler sind ausgebessert und bei einer erfolgreichen Anmeldung wird die Session ID neu generiert. PHP-Sitzungen funktionieren nur mit Cookie und der Keks bleibt schädlichem JavaScript-Code verborgen.

Eingebauter Schutz vor DoS-Angriffen

Per Standard darf ein Gerät nur 1000 Anfragen in 60 Sekunden durchführen. Das sollte reichen, denn es sind in einem Tag mehr als eine Million DNS-Anfragen. Übersteigt ein Gerät das Limit, wird die Anfrage abgelehnt und kommt als leer zurück.

Das Limit lässt sich aber auch deaktivieren. Hier musst Du in der Datei /etc/pihole/pihole-FTL.conf den Parameter RATE_LIMIT=0/0 setzen. Bei einer Anfrage pro Stunde sieht die Syntax wie folgt aus RATE_LIMIT=1/3600.

Verbesserte Kompatibilität zu systemd-resolved

Weiterhin hat das Team einen Bug bereinigt, den es schon länger gab und in Zusammenhang mit systemd-resolved steht. Bestimmte Clients mussten bis zu 5 Sekunden auf eine Antwort warten. Bei der neuesten FTL-Version ist das nicht mehr der Fall.

Verbesserungen bei der Speichernutzung

Die neueste Version von FT erkennt, wenn Shared Memory Blocks bereits von anderen Prozessen benutzt werden. Es wird also verhindert, dass es zu Inkonsistenzen beim gemeinsam genutzten Speicher kommt.

Alle weitere Neuerungen und Änderungen findest Du in der offiziellen Ankündigung.

Hast Du bereits eine Pi-hole-Instanz, kannst Du wie übliche mit