OpenWrt Service-Release 25.12.4 am 14.05.2026 veröffentlicht

[Confluencer]

Das Service-Release 25.12.4 wurde am 14.05.2026 veröffentlicht (Release-Notes).

Upgrade mit "Attended Sysupgrade" verlief diesmal auf dem AP-Router ohne Probleme und der Haupt-Router zickt.

Diesmal ging es wohl scheinbar primär um Security Fixes:

• dnsmasq:backport six upstream CVE-fix patches to dnsmasq 2.91:
  • CVE-2026-2291: heap buffer overflow in DNS domain-name handling.
  • CVE-2026-4890 / CVE-2026-4891: DNSSEC crashes via crafted NSEC bitmaps / RRSIG packets.
  • CVE-2026-4892: buffer overflow on large DHCPv6 CLIDs (only with --dhcp-script).
  • CVE-2026-4893: broken EDNS Client Subnet validation.
  • CVE-2026-5172: buffer overflow in extract_addresses() on crafted resource records.
• Linux kernel: CVE-2026-43284 (“Dirty Frag”) — local privilege escalation via the IPsec ESP path. Only relevant on devices with kmod-ipsec / esp4/esp6 loaded. Fixed via the 6.12.87 kernel update.

 

[Confluencer]

Das Update beim Haupt-Router zickt, weil das Paket udp-broadcast-relay-redux nicht mehr oder noch nicht in 25.12.4 existiert. Damit kann man Broadcast Pakete aus einem Subnets in andere Subnetze weiterleiten.

Unschön! Da muss ich mir dann wohl eine alternative suchen...

Update: Das war es noch nicht. Es scheint noch weitere Kollisionen zu geben. Bei den letzten zwei Service-Releaes war irgendwie der Wurm drin. Beim Haupt-Router sind deutlich mehr Pakete installiert als beim AP-Router, deswegen muss ich hier erstmal planen wie der Weg über ein vanilla Sysupdate mit nachträglichem Patchen mit Unattendet Sysupdate aussieht.

 

[Confluencer]

Ich hab mich heute erst um den Haupt-Router gekümmert.

Diesmal hab ich mit apk list --installed die Liste der installierten Pakete gezogen, was am Ende aber gar nicht notwendig war, da man beim Einspielen des vanilla Sysupdate einen Haken setzen kann, bei dem die Liste nach /etc/backup/installed_packages.txt exportiert wird.

Ich hab die Liste der Pakete dann über Software wieder installiert und versucht ein Attended Sysupdate zu machen, um das Paket wpad-basic-mbedtls durch wpad-mbedtls zu ersetzen. Hat auch rumgezickt. Also ganze Turnübung von vorne und diesmal zuerst das Paket mit Attended Sysupdate ausgetauscht. Nach dem Neustart wieder alle Pakete nachinstalliert. Nach der Installation von Wireguard braucht es dann noch einen Reboot und fast alles funktioniert wieder.

Leider nur fast alles, weil das Paket udp-broadcast-relay-redux dauerhaft entfernt wurde.

Generell fühlt es sich so an, als wenn in den OpenWRT-Repos gerade irgendwie der Wurm drin ist...