Pi-hole Update: Sicherheitslücken geschlossen und Leistung verbessert

Mit den neuen Versionen Pi-hole FTL v6.5, Web v6.4.1 und Core v6.4 stehen Nutzern des bekannten netzwerkweiten Werbeblockers wichtige Aktualisierungen bereit. Wer ein Update durchführen möchte, sollte vorab die Änderungsprotokolle sichten und mit pihole --teleporter eine Sicherungskopie der Konfiguration anlegen. Das Update ist auch auf Docker unter dem Tag 2026.02.0 verfügbar.

Zwei Schwachstellen in der Weboberfläche behoben

Im Mittelpunkt des Releases stehen zwei behobene Sicherheitslücken in der Weboberfläche, die unter den Kennungen GHSA-6xp4-jw73-f4qp und GHSA-8rw8-vjgp-rwj6 dokumentiert sind. Beide Schwachstellen wurden mit gezielten Code-Korrekturen geschlossen. Nutzern wird empfohlen, das Update zeitnah einzuspielen.

Schnellerer Start dank asynchronem Datenbankimport

Eine wesentliche Neuerung in FTL betrifft das Startverhalten: Bisher wartete der DNS-Dienst, bis der gesamte Abfrageverlauf aus der Datenbank in den Arbeitsspeicher geladen war, bevor er Anfragen entgegennahm. Künftig läuft dieser Import im Hintergrund ab, während FTL sofort mit der Verarbeitung von DNS-Abfragen beginnt. Ein zurückgehaltener Garbage Collector stellt dabei die Datenkonsistenz während des Importvorgangs sicher.

Neue Option für speichersparenden Betrieb

Für den Einsatz auf Hardware mit begrenzten Ressourcen – etwa älteren Raspberry-Pi-Modellen – steht nun die Konfigurationsoption database.forceDisk zur Verfügung. Sie veranlasst FTL, die SQLite3-Datenbank statt im RAM auf dem Datenträger abzulegen, was den Arbeitsspeicherbedarf merklich senkt. Auf NVMe-Systemen wurde dabei kein messbarer Leistungsverlust festgestellt, auf langsameren Speichermedien sind jedoch gewisse Einbußen möglich.

Gravity-Updates bis zu 16 Prozent schneller

Die Domänenvalidierung beim Ausführen von pihole -g wurde an mehreren Stellen optimiert. Eine Lookup-Tabelle ersetzt nun mehrfach verzweigte Zeichenvergleiche durch einen einzelnen Vergleich pro Zeichen. Zudem werden IP-Adresstests früh abgebrochen, wenn bestimmte Eingangsbedingungen nicht erfüllt sind – IPv4-Tests nur bei Tokens, die mit einer Ziffer beginnen, IPv6-Tests nur bei einem Doppelpunkt innerhalb der ersten fünf Zeichen. Die Unicode-BOM-Prüfung erfolgt jetzt einmalig je Datei statt für jede einzelne Zeile. In Tests mit rund fünf Millionen Domains über mehrere Listen sank die Aktualisierungsdauer von etwa 27 auf rund 23 Sekunden, was einer Reduzierung von etwa 16 Prozent in Echtzeit und 22 Prozent in CPU-Zeit entspricht.

Weitere Änderungen

Web v6.4.1 bringt zudem eine verbesserte Erstladung des Abfrageprotokolls sowie eine Korrektur beim Enddatum der Live-Abfrageaktualisierung. Core v6.4 enthält unter anderem den Wegfall von wget aus den Alpine-Abhängigkeiten, farbliche Hervorhebungen in Gravity-Tabellen des Debug-Protokolls sowie kleinere Korrekturen an Installationspfaden und Hilfsmeldungen.

Weiterlesen