OpenWrt Service-Release 25.12.4 am 14.05.2026 veröffentlicht

[Confluencer]

Das Service-Release 25.12.4 wurde am 14.05.2026 veröffentlicht (Release-Notes).

Upgrade mit "Attended Sysupgrade" verlief diesmal auf dem AP-Router ohne Probleme und der Haupt-Router zickt.

Diesmal ging es wohl scheinbar primär um Security Fixes:

• dnsmasq:backport six upstream CVE-fix patches to dnsmasq 2.91:
  • CVE-2026-2291: heap buffer overflow in DNS domain-name handling.
  • CVE-2026-4890 / CVE-2026-4891: DNSSEC crashes via crafted NSEC bitmaps / RRSIG packets.
  • CVE-2026-4892: buffer overflow on large DHCPv6 CLIDs (only with --dhcp-script).
  • CVE-2026-4893: broken EDNS Client Subnet validation.
  • CVE-2026-5172: buffer overflow in extract_addresses() on crafted resource records.
• Linux kernel: CVE-2026-43284 (“Dirty Frag”) — local privilege escalation via the IPsec ESP path. Only relevant on devices with kmod-ipsec / esp4/esp6 loaded. Fixed via the 6.12.87 kernel update.

 

[Confluencer]

Das Update beim Haupt-Router zickt, weil das Paket udp-broadcast-relay-redux nicht mehr oder noch nicht in 25.12.4 existiert. Damit kann man Broadcast Pakete aus einem Subnets in andere Subnetze weiterleiten.

Unschön! Da muss ich mir dann wohl eine alternative suchen...

Update: Das war es noch nicht. Es scheint noch weitere Kollisionen zu geben. Bei den letzten zwei Service-Releaes war irgendwie der Wurm drin. Beim Haupt-Router sind deutlich mehr Pakete installiert als beim AP-Router, deswegen muss ich hier erstmal planen wie der Weg über ein vanilla Sysupdate mit nachträglichem Patchen mit Unattendet Sysupdate aussieht.

 

[Confluencer]

Ich hab mich heute erst um den Haupt-Router gekümmert.

Diesmal hab ich mit apk list --installed die Liste der installierten Pakete gezogen, was am Ende aber gar nicht notwendig war, da man beim Einspielen des vanilla Sysupdate einen Haken setzen kann, bei dem die Liste nach /etc/backup/installed_packages.txt exportiert wird.

Ich hab die Liste der Pakete dann über Software wieder installiert und versucht ein Attended Sysupdate zu machen, um das Paket wpad-basic-mbedtls durch wpad-mbedtls zu ersetzen. Hat auch rumgezickt. Also ganze Turnübung von vorne und diesmal zuerst das Paket mit Attended Sysupdate ausgetauscht. Nach dem Neustart wieder alle Pakete nachinstalliert. Nach der Installation von Wireguard braucht es dann noch einen Reboot und fast alles funktioniert wieder.

Leider nur fast alles, weil das Paket udp-broadcast-relay-redux dauerhaft entfernt wurde.

Generell fühlt es sich so an, als wenn in den OpenWRT-Repos gerade irgendwie der Wurm drin ist...

 

[Der Eifelsachse]

Hallo @Confluencer,

zuerst einmal vielen Dank für deine guten Informationen.
Da ich auch schon "immer" daran interessiert bin, aktuelle Software zu nutzen, habe ich auch gleich am ersten Tag - allerdings nur auf dem zum Testgerät degradierten Reservegerät für meinen hiesigen WireGuard-Router - die aktuelle Firmware installiert. Dabei habe ich prinzipiell das gleiche festgestellt, wie du (auch, dass es schon einmal weniger Probleme gegeben hat).
Ich mache immer zuerst den Test mit der reinen Grundinstallation der "blanken" Firmware aus dem Firmware-Selektor und installiere dann (nur auf diesem einen Gerät) die für meinen Bedarf erforderlichen zusätzlichen Pakete händisch nach. Dabei habe ich festgestellt, dass da bei einigen Paketen einige der erforderlichen Module fehlen (firewall, ip usw.). Und beim Cudy fehlt am ersten Tag noch viel mehr ... .
Dann lehne ich mich erst einmal entspannt zurück und warte 1-2 Tage oder mitunter auch etwas länger.
Und erst, wenn wirklich alles funktioniert, dann erstelle ich mit dem Firmware-Selektor für jeden bei mir eingesetzten Gerätetyp einschließlich der Reservegeräte ein Image, beobachte die Ausgaben, und spiele dieses Image dann via (VPN und) GUI ein. Da alle Gerätetypen mehrfach eingesetzt werden, ist das für mich die effektivste Lösung.
Sicherlich ist das, wegen der vielen Geräte ein etwas aufwändiger Vorgang, aber ich musste dadurch auch noch keines meiner sehr weit entfernt stationierten Geräte zurückrufen. Im Endeffekt mache ich nichts anderes, als ich es in den Jahren meiner Berufstätigkeit gewohnt war - erst gründlich testen, dann ausrollen ... .

Und: Ich kann den Machern von OpenWrt nur für Ihre Arbeit danken - und auch akzeptieren, dass nicht alles in den Repos immer sofort verfügbar ist.

Grüße aus der Eifel!