Pi-hole jetzt mit DoS Schutz

Fr, 19. Februar 2021, Niklas

Von dem DNS basierten Adblocker gibt es neue Versionen: FTL 5.7 und Web 5.4. Diese bringen vor allem Verbesserungen bei der Sicherheit.

Ab sofort gibt es in der Standardkonfiguration ein Limit von 1000 DNS Anfragen pro Minute pro Client. So wird verhindert, dass offene Pi-hole Server für DoS Angriffe des Typs DNS Reflection benutzt werden können.

Ausserdem haben fehlerhafte Clients oft Pi-hole Instanzen überlastet, indem sie für blockierte Domains tausende Male erneut nachgefragt haben. Wird das Limit überschritten, liefert Pi-hole nur noch leere Antworten. Es gibt die Möglichkeit, das Limit beliebig anzupassen oder ganz abzuschalten.

Das Webinterface hat ausserdem eine Sicherheitsverbesserung erhalten. Zuvor war es möglich, den Session Cookie mit Javascript auszulesen. Schädliche Scripts könnten so Zugriff auf die Pi-hole Verwaltung bekommen. Das wäre aber nur dann problematisch, wenn der Angreifer schon einen anderen Angriffspunkt gefunden hat, um den entsprechenden Code einzuschleusen. Mit der neuen Version hat Javascript keinen Zugriff mehr auf den Session-Cookie.

Weiter gibt es in der neuen Version einen Workaround im Zusammenhang mit systemd-resolved. Bei manchen Clients dauerte es früher durch einen Bug im DNS Resolver von Systemd bis zu 5 Sekunden, bis sie eine Antwort von Pi-hole FTL erhalten haben. Das ist jetzt nicht mehr der Fall.

Die Speichernutzung wurde ebenfalls optimiert. Pi-hole nutzt mehrere Prozesse, um die Performance zu optimieren. Früher konnte es zu Inkonsistenzen beim gemeinsam genutzten Speicher der verschiedenen Prozesse kommen. Jetzt erkennt Pi-hole, wenn ein Speicherblock bereits von einem anderen Prozess verwendet wird und schreibt dann nicht in diesen Bereich.

Quellen:

Es wurden noch keine Kommentare verfasst, sei der erste!