Pi-hole güncellemesi dnsmasq güvenlik açıklarını kapatıyor | çevrimiçi

FTL 6.6.2 güncellemesiyle Pi-hole projesi, Raspberry Pis için DNS tabanlı reklam engelleyicideki birçok güvenlik açığını kapatıyor. Dahil edilen DHCP'yi ve DNS sunucusu dnsmasq'ını etkilerler.

Pi-hole FTL 6.6.2 için yapılan sürüm duyurusunda geliştiriciler, dnsmasq 2.92 ve 2.93'te bilinen ve CERT.org'un bu hafta Pazartesi gününden beri uyarıda bulunduğu güvenlik açıklarını kapattıklarını tartışıyorlar. Örneğin boşluk riskinin CVSS'ye göre sınıflandırılması henüz mevcut değildir. Ancak pek çok proje, ünlü CERT'in uyarmasına rağmen yakında dnsmasq açıklarını kapatacak güncellemeler sunacak. CERT, Pi-hole'un yanı sıra Arch Linux, NixOS, Red Hat, SUSE Linux, Ubuntu ve Wind River'ı da etkilenenler arasında listeliyor.

Boşluklar arasında, değiştirilmiş DNS yanıtlarıyla tetiklenebilen yığın üzerinde bir arabellek taşması (CVE-2026-2291), DHCP yardımcı komut dosyasında bir arabellek taşması (CVE-2026-4892), yığının amaçlanan bellek sınırlarının ötesinde okuma erişimleri (CVE-2026-5172) ve EDNS istemcisindeki bir alt ağ kontrolünün atlanması (CVE-2026-4893) ve iki DNSSEC'deki hizmet reddi güvenlik açıkları (CVE-2026-4890, CVE-2026-4891). CERT, bunun kodun kök ayrıcalıklarıyla yürütülmesine veya saldırganların önbelleği değiştirmesine (önbellek zehirlenmesi/yönlendirmesi) izin verebileceğini yazıyor. Dnsmasq projesi, 2.92rel2 ve 2.93 versiyonlarındaki güvenlik sızıntılarını yamalıyor.

Pi-hole: Güncellenmiş yazılım

Bakımcılar, Pi-hole'un hangi yazılım sürümüne kadar dnsmasq güvenlik açıklarına karşı savunmasız olduğunu belirtmez. Çözüm olarak Pi-hole kullanıcılarının mutlaka güncel 6 sürümüne geçmeleri gerekmektedir. Güncelleme aranarak gönderilir sudo pihole -up Raspberry Pi'nin sisteme kullanılan terminalinde.

Pi-hole projesi en son Nisan ayının sonunda bir güvenlik güncellemesi yayınladı. Programcılar böylece iki yüksek riskli güvenlik açığını kapattılar. Pi-hole Core ve FTL bileşenleri de etkilendi. Boşluklar saldırganların ayrıcalıkları artırmasına olanak tanıdı. Bunlar, Core 6.4.2 ve FTL 6.6.1 sürümlerinden önce Pi-hole tarafından sağlanan komut dosyalarını etkiler. Pi-hole haklarına sahip saldırganlar (örneğin, web arayüzünde önceden bilinmeyen bir güvenlik açığını kötüye kullanarak) kök haklarını elde edebildiler (CVE-2026-41489, CVSS) 8.8risk”yüksek“). Güvenlik açığının daha ayrıntılı bir analizi GitHub'da mevcut; ilgili CVE girişi yalnızca Salı gecesi NIST NVD veritabanında yayınlandı.

Ayrıca bakınız:

(DMK)