Pi-hole ha rilasciato un aggiornamento su tutti e tre i suoi componenti principali, FTL v6.6, Web v6.5 e Core v6.4.1, con un’immagine Docker taggata come 2026.04.0. L’aggiornamento è principalmente di sicurezza e chi gestisce un’installazione esposta anche solo sulla rete locale farebbe bene ad aggiornare senza aspettare.Le vulnerabilità corretteNell’interfaccia web sono stati chiusi diversi problemi di XSS e iniezione HTML, segnalati da tre ricercatori che hanno scelto di notificare il problema privatamente al team prima di renderlo pubblico. I componenti coinvolti includono la gestione delle query, la pagina Rete e la Dashboard.Nel Core è stata corretta un’escalation di privilegi locale: il file /etc/pihole/versions veniva importato direttamente dagli script di Pi-hole eseguiti come root, con la possibilità, in uno scenario post-compromissione, di eseguire codice arbitrario. La correzione sostituisce quel meccanismo con un parser che accetta solo chiavi conosciute e valori validati.In FTL, invece, è stato risolto un bypass dell’autorizzazione sull’endpoint /api/teleporter: le sessioni API da riga di comando, concepite come sola lettura, riuscivano ad importare archivi Teleporter aggirando i controlli previsti. Separato ma altrettanto delicato, un difetto nella gestione dei parametri di configurazione: FTL non verificava correttamente la presenza di caratteri di interruzione riga nei valori DNS e DHCP. Un parametro artefatto poteva così introdurre contenuto aggiuntivo nel file di configurazione, interpretato poi come istruzione valida, con possibilità di esecuzione di codice da remoto.Novità e fix di affidabilitàSul piano della stabilità, FTL ora attende il completamento di un aggiornamento della gravity (il database dei domini bloccati) in corso prima di riavviarsi, evitando la finestra in cui Pi-hole poteva temporaneamente smettere di rispondere alle query DNS. È anche disponibile la nuova opzione resolver.macNames per controllare la risoluzione dei nomi host tramite indirizzo MAC, utile in reti con segmentazione di livello 2.Corretti inoltre un underflow intero che faceva apparire il log delle query con un numero assurdo di pagine, un contatore dei client gonfiato dal rate limiter, e una crescita incontrollata della memoria quando l’importazione dei grafici storici era disabilitata.Come sempre, prima di aggiornare con pihole -up conviene esportare la configurazione con Teleporter.
SOURCE://
pi-hole.net
SOURCE://
github.com
Supporta Yoota · link affiliatoConsiglioLa tua email, davvero privataPassa sopra / Tocca
