Die webbasierte Administrationsoberfläche von Pi-hole wurde auf die Version 5.5.1 aktualisiert. Hierbei wurden zwei Sicherheitslücken behoben. Pi-hole ist ein netzwerkweiter Blocker für Werbung und sonstigem Tracking. Das Blockieren geschieht durch das Umleiten der DNS-Einträge, sodass die IP-Adressen der richtigen Server nicht gefunden werden. Die Software steht unter der European Union Public License in der Version 1.2.
Das Entwicklerteam konnte in dieser Version die folgenden zwei Schwachstellen schliessen:
- Einerseits war es zuvor möglich, über eine Stored Cross-Site-Scripting Schwachstelle JavaScript-Code einzuschleusen, welcher bei anderen danach ausgeführt wird.
- Andererseits gab es für angemeldete Benutzer die Möglichkeit eine Remote-Code-Ausführung herbeizuführen, da bei einem regulären Ausdruck bei der Whitelist ein Punkt nicht maskiert wurde. Bei regulären Ausdrücken bedeutet ein Punkt, dass jedes Zeichen erlaubt ist und auch Befehle, welche in einem weiteren Schritt geladen werden.
Details zu den Schwachstellen können in den unten verlinkten Beschreibungen nachgelesen werden. Obwohl die Software normalerweise nur im lokalen Netz läuft, ist ein Update auf die aktuellste Version empfehlenswert. Dies kann – bei einer normalen Installation – mit folgendem Befehl gemacht werden:
pihole -upNeben den geschlossenen Sicherheitslücken hat das Entwicklerteam einige Fehler im neusten Docker-Image behoben. Ausserdem wurde im Zuge dessen die Dokumentation aktualisiert und einige neue Umgebungsvariablen eingeführt. Details lassen sich im Beitrag von Pi-hole nachlesen.
Quellen:
- Beitrag des Projekts: https://pi-hole.net/2021/08/04/hotfix-pi-hole-web-v5-5-1-released/
- Beschreibung Schwachstelle zur Remote Code Execution: https://github.com/pi-hole/AdminLTE/security/advisories/GHSA-5cm9-6p3m-v259
- Beschreibung Cross-Site-Scripting-Schwachstelle: https://github.com/pi-hole/AdminLTE/security/advisories/GHSA-g3w6-q4fg-p8x8
