Pi-hole Sicherheitslücke: So schützen Sie Ihr System sofort
Kritische Pi-hole-Schwachstellen bedrohen ungesicherte Systeme. So erkennen und schließen Sie die Lücke sofort – jetzt in Kärnten beraten lassen.
Ihr Pi-hole blockiert seit Jahren zuverlässig Werbung und Tracker – aber genau diese Zuverlässigkeit macht viele Betreiber blind für ein aktuelles Risiko. Mehrere kritische Sicherheitslücken in der beliebten DNS-Filterlösung erlauben es Angreifern im schlimmsten Fall, die vollständige Kontrolle über das System zu übernehmen. Weil es sich um ein echtes Sicherheitsupdate handelt und nicht um eine kosmetische Anpassung, ist schnelles Handeln gefragt.
Was Sie in diesem Artikel erfahren:
- Welche Schwachstellen konkret entdeckt wurden und wer sie behoben hat
- Warum Ihr Risiko stark davon abhängt, wo und wie Sie Pi-hole betreiben
- Woran Sie ein anstehendes Update erkennen
- Die Schritt-für-Schritt-Anleitung für ein sicheres Update per Kommandozeile
Was ist passiert: Mehrere kritische Schwachstellen im Pi-hole entdeckt
In den letzten Monaten wurden im Open-Source-Werbeblocker Pi-hole mehrere Sicherheitslücken bekannt, von denen zwei besonders schwer wiegen. CVE-2026-39849 (CVSS 8.7) erlaubt es netzwerknahen Angreifern, über das Konfigurationsfeld dns.interface eigene Befehle einzuschleusen und darüber den DHCP-Server zu aktivieren – behoben in FTL 6.6.1, dem DNS-Resolver-Dienst von Pi-hole. Parallel dazu ermöglichte CVE-2026-35517 bis Core-Version 6.6 authentifizierten Nutzern eine vollständige Remote-Codeausführung durch einen manipulierten Zeilenumbruch in einem DNS-Konfigurationsfeld.
Die offiziellen Sicherheitshinweise auf GitHub listen zusätzlich eine lokale Rechteausweitung (CVE-2026-41489, CVSS 8.8), mit der ein bereits kompromittiertes System vom eingeschränkten pihole-Konto aus vollständig unter Root-Kontrolle gebracht werden kann. Auch bei Kärntner Betrieben, die Pi-hole zur Werbe- und Trackerfilterung im Firmennetz einsetzen, ist damit Handlungsbedarf gegeben.
Wer ist wirklich gefährdet – und wer nicht
Nicht jede Installation trägt das gleiche Risiko. Entscheidend ist, wo und wie Ihr Pi-hole im Netzwerk erreichbar ist:
- Privatanwender im eigenen Heimnetz (geringes Risiko): Wer Pi-hole ausschließlich im isolierten Heim-WLAN ohne fremde Nutzer betreibt, ist weitgehend sicher – auch ohne gesetztes Admin-Passwort, weil die kritischste Lücke zusätzlich Netzwerkzugriff durch einen Angreifer voraussetzt.
- Öffentliche Netzwerke (echtes Risiko): Wer Gästen etwa in einem Hotel oder Restaurant WLAN anbietet und den Datenverkehr darüber filtert, ist einem echten Risiko ausgesetzt – ähnlich wie beim Mitlesen von WLAN-Traffic durch Dritte im selben Netz, das eigene Schutzmaßnahmen braucht.
- Internet-Freigabe (hohes Risiko): Ein Pi-hole sollte niemals direkt aus dem Internet erreichbar sein. Wer für den Fernzugriff dennoch Ports weiterleitet, sollte stattdessen auf eine sichere Selfhosting-Lösung ganz ohne Port-Forwarding umsteigen.
Wenn Sie unsicher sind, wie exponiert Ihr Netzwerk aktuell ist, hilft eine unabhängige Einschätzung: IT-Sicherheitscheck für Unternehmen in Kärnten zeigt, wo offene Türen im eigenen Netz lauern – nicht nur beim Pi-hole.
Woran Sie erkennen, ob Ihr Pi-hole betroffen ist
Ein Blick in die Weboberfläche genügt für die erste Einschätzung. Scrollen Sie dort ganz nach unten – sobald eine neuere Version verfügbar ist, zeigt Pi-hole automatisch eine Update-Meldung an. Sicher vor den hier beschriebenen Lücken sind Sie erst ab Core 6.6 in Kombination mit FTL 6.6.1 oder neuer.
Es lohnt sich, diese Prüfung nicht nur einmalig, sondern regelmäßig durchzuführen. Gerade bei Systemen, die einmal eingerichtet und danach kaum noch angefasst werden – etwa auf einem Raspberry Pi im Keller oder Serverschrank eines Kärntner Kleinbetriebs – bleiben Updates in der Praxis am längsten aus.
Schritt-für-Schritt: So aktualisieren Sie Pi-hole sicher
Das Update lässt sich nicht bequem per Klick in der Weboberfläche starten, sondern erfordert den Zugriff über die Kommandozeile:
- Verbindung herstellen: Öffnen Sie ein Terminal und verbinden Sie sich per SSH mit Ihrem Pi-hole-System, zum Beispiel bei einem Raspberry Pi mit
ssh pi@<IP-Adresse>. - Authentifizieren: Loggen Sie sich mit dem entsprechenden Passwort ein.
- Update starten: Führen Sie
sudo pihole -upaus, um den Aktualisierungsprozess mit den nötigen Root-Rechten zu starten. - Warten: Der Vorgang läuft automatisch ab und dauert je nach Systemleistung meist 3 bis 4 Minuten.
- Erfolg prüfen: Laden Sie die Weboberfläche nach Abschluss neu (
Strg + R) – die Update-Meldung am unteren Rand sollte danach verschwunden sein.
Nutzen Sie parallel dazu die Gelegenheit, ein Admin-Passwort zu setzen, falls das bisher nicht geschehen ist – gerade in Kombination mit Netzwerkzugriff ist das laut CVE-2026-39849 die zweite notwendige Bedingung für einen erfolgreichen Angriff. Basic4web unterstützt auf Wunsch auch Kärntner Betriebe, die diesen Schritt nicht selbst durchführen möchten.
Fazit: Handeln Sie jetzt, bevor jemand anderes es tut
Die Schwachstellen im Pi-hole sind kein Grund für Panik, aber ein klarer Auftrag zum Handeln – vor allem für Betriebe, die Gäste-WLANs betreiben oder Systeme versehentlich aus dem Internet erreichbar gemacht haben. Ein Update in wenigen Minuten schließt die bekannten Lücken zuverlässig. Wenn Sie sich unsicher sind, ob Ihr Netzwerk insgesamt sauber abgesichert ist, nehmen Sie jetzt Kontakt auf – wir prüfen Ihre Situation und zeigen den nächsten Schritt für Unternehmen in Kärnten.
Häufige Fragen
Ist mein privates Pi-hole durch die aktuelle Sicherheitslücke gefährdet?
Wer Pi-hole ausschließlich im isolierten Heimnetzwerk ohne fremde Nutzer betreibt, ist weitgehend sicher – selbst ohne gesetztes Admin-Passwort. Die kritischste Schwachstelle setzt zusätzlich Netzwerkzugriff durch einen Angreifer voraus, der im reinen Privathaushalt in der Regel fehlt.
Wer ist von der Pi-hole-Sicherheitslücke am stärksten betroffen?
Am größten ist das Risiko bei Installationen in öffentlichen Netzwerken wie Hotel- oder Gäste-WLAN sowie bei Systemen, die direkt aus dem Internet erreichbar sind. Dort können netzwerknahe Angreifer die Lücke ohne Admin-Passwort ausnutzen und die Kontrolle übernehmen.
Woran erkenne ich, ob mein Pi-hole aktualisiert werden muss?
Ein Blick auf die Weboberfläche genügt: Scrollt man ganz nach unten, zeigt Pi-hole automatisch an, sobald eine neue Version verfügbar ist. Sicher vor den bekannten Lücken sind Sie erst ab Core-Version 6.6 mit FTL 6.6.1 oder neuer.
Wie lange dauert das Pi-hole-Update über die Kommandozeile?
Der Befehl sudo pihole -up läuft vollautomatisch ab und dauert je nach Systemleistung meist 3 bis 4 Minuten. Nach einem Neuladen der Weboberfläche im Browser sollte die Update-Meldung anschließend verschwunden sein.
Thomas Kohlweiss
Dipl.-Ing. Ing. · Basic4web Kärnten
IT-Experte für KMU – Internet, IT-Sicherheit, KI & Smart Home. 20+ Jahre Erfahrung.