Pi-hole hat am 11. Mai 2026 die Version FTL v6.6.2 ausgeliefert — und damit gleich SECHS upstream-dnsmasq-Sicherheitsfixes in einen Schwung gebracht. Wer einen Pi-hole als DNS-Filter im Heimnetz oder Homelab betreibt, sollte das Update spätestens diese Woche einspielen. Die Docker-Variante 2026.05.0 ist parallel freigegeben.
WELCHE CVEs sind drin?
Pi-hole importiert die kompletten Patches gegen die publizierten Schwachstellen der dnsmasq-2.92/2.93-Linie. Konkret:
- CVE-2026-2291 — Heap-OOB-Write in struct bigname. Der Heap-Buffer war falsch berechnet — Out-of-Bounds-Write mit potenziell weitreichenden Folgen.
- CVE-2026-4890 — DNSSEC-Denial-of-Service durch NSEC-Bitmap-Parsing. Endlosschleife möglich, wenn der Server eine präparierte Antwort verarbeitet.
- CVE-2026-4892 — Privileged Buffer Overflow im DHCP-Helper.
- CVE-2026-4893 — EDNS-Client-Subnet-Validierung umgehbar; ECS-Source-Validation funktionierte nicht wie in RFC 7871 vorgegeben.
Plus zwei weitere kleinere Fixes aus der dnsmasq-Pipeline.
UNGLAUBLICH: Verhalten ändert sich nicht
Genau das ist das Schöne an FTL v6.6.2. Du wirst NICHTS merken — keine geänderten Block-Listen, keine umgestellten Default-Werte, keine neuen UI-Elemente. Die Wartungs-Linie hat genau eine Aufgabe: Sicherheitslöcher zumachen, ohne deinen Setup-Alltag zu stören.
SO UPDATEST du in 30 SEKUNDEN
Per CLI (klassischer Pi-hole auf Pi 4 oder 5):
pihole -upPer Docker:
docker compose pull pihole
docker compose up -d piholeWer Updates aus dem Web-UI heraus startet, klickt im Admin-Dashboard unter „Settings → System“ auf Update. Backup vorher — nicht weil dieser Patch Schema-Migrationen hätte, sondern weil es einfach gute Praxis ist.
WARUM SECHS auf einen Schlag?
Die dnsmasq-Sicherheitsforschung der letzten Monate hat mehrere Lücken parallel offengelegt. Simon Kelley, der dnsmasq-Maintainer, hat alle in einer einzigen Release-Welle gebündelt. Pi-hole zieht traditionell zeitnah nach, sobald upstream ein neues Release stabil ist. Das ist Open-Source-Wartung at its best.
EXTRA-TIPP: Unbound parallel verwundbar?
Wenn du Pi-hole mit Unbound als Recursive-Resolver dahinter betreibst, schau separat in den Unbound-Release-Notes nach. Die genannten CVEs treffen dnsmasq, nicht Unbound — aber gleichzeitig laufen oft beide auf dem gleichen Pi. Doppelt-Check schadet nie.
FAZIT
Pi-hole-FTL v6.6.2 ist eine reine Sicherheits-Wartung. 10 Sekunden Klick, 30 Sekunden Pull, fertig. Wer das ignoriert, fährt einen DNS-Resolver mit publizierten Schwachstellen — und im Heimnetz hängt einfach zu viel daran, als dass sich das lohnen würde.
Quellen: pi-hole/FTL GitHub-Release v6.6.2, Pi-hole Blog Mai 2026, dnsmasq Release-Notes, heise online Mai 2026.
Häufige Fragen
Bricht das Update meine Block-Listen oder Konfigurationen?
Wie lange ist mein Pi-hole verwundbar, wenn ich nicht patche?
Wie aktualisiere ich einen Pi-hole im Docker-Compose-Stack?
docker-compose.yml: docker compose pull pihole && docker compose up -d pihole. Das lädt das neue 2026.05.0-Image und startet den Container mit unveränderter Konfiguration neu.Brauche ich neue Block-Listen nach dem Update?
pihole -g auf.