OpenWrt Service-Release 25.12.4 am 14.05.2026 veröffentlicht

[Confluencer]

Das Service-Release 25.12.4 wurde am 14.05.2026 veröffentlicht (Release-Notes).

Upgrade mit "Attended Sysupgrade" verlief diesmal auf dem AP-Router ohne Probleme und der Haupt-Router zickt.

Diesmal ging es wohl scheinbar primär um Security Fixes:

• dnsmasq:backport six upstream CVE-fix patches to dnsmasq 2.91:
  • CVE-2026-2291: heap buffer overflow in DNS domain-name handling.
  • CVE-2026-4890 / CVE-2026-4891: DNSSEC crashes via crafted NSEC bitmaps / RRSIG packets.
  • CVE-2026-4892: buffer overflow on large DHCPv6 CLIDs (only with --dhcp-script).
  • CVE-2026-4893: broken EDNS Client Subnet validation.
  • CVE-2026-5172: buffer overflow in extract_addresses() on crafted resource records.
• Linux kernel: CVE-2026-43284 (“Dirty Frag”) — local privilege escalation via the IPsec ESP path. Only relevant on devices with kmod-ipsec / esp4/esp6 loaded. Fixed via the 6.12.87 kernel update.

 

[Confluencer]

Das Update beim Haupt-Router zickt, weil das Paket udp-broadcast-relay-redux nicht mehr oder noch nicht in 25.12.4 existiert. Damit kann man Broadcast Pakete aus einem Subnets in andere Subnetze weiterleiten.

Unschön! Da muss ich mir dann wohl eine alternative suchen...

Update: Das war es noch nicht. Es scheint noch weitere Kollisionen zu geben. Bei den letzten zwei Service-Releaes war irgendwie der Wurm drin. Beim Haupt-Router sind deutlich mehr Pakete installiert als beim AP-Router, deswegen muss ich hier erstmal planen wie der Weg über ein vanilla Sysupdate mit nachträglichem Patchen mit Unattendet Sysupdate aussieht.

 

[Confluencer]

Ich hab mich heute erst um den Haupt-Router gekümmert.

Diesmal hab ich mit apk list --installed die Liste der installierten Pakete gezogen, was am Ende aber gar nicht notwendig war, da man beim Einspielen des vanilla Sysupdate einen Haken setzen kann, bei dem die Liste nach /etc/backup/installed_packages.txt exportiert wird.

Ich hab die Liste der Pakete dann über Software wieder installiert und versucht ein Attended Sysupdate zu machen, um das Paket wpad-basic-mbedtls durch wpad-mbedtls zu ersetzen. Hat auch rumgezickt. Also ganze Turnübung von vorne und diesmal zuerst das Paket mit Attended Sysupdate ausgetauscht. Nach dem Neustart wieder alle Pakete nachinstalliert. Nach der Installation von Wireguard braucht es dann noch einen Reboot und fast alles funktioniert wieder.

Leider nur fast alles, weil das Paket udp-broadcast-relay-redux dauerhaft entfernt wurde.

Generell fühlt es sich so an, als wenn in den OpenWRT-Repos gerade irgendwie der Wurm drin ist...

 

[Der Eifelsachse]

Hallo @Confluencer,

zuerst einmal vielen Dank für deine guten Informationen.
Da ich auch schon "immer" daran interessiert bin, aktuelle Software zu nutzen, habe ich auch gleich am ersten Tag - allerdings nur auf dem zum Testgerät degradierten Reservegerät für meinen hiesigen WireGuard-Router - die aktuelle Firmware installiert. Dabei habe ich prinzipiell das gleiche festgestellt, wie du (auch, dass es schon einmal weniger Probleme gegeben hat).
Ich mache immer zuerst den Test mit der reinen Grundinstallation der "blanken" Firmware aus dem Firmware-Selektor und installiere dann (nur auf diesem einen Gerät) die für meinen Bedarf erforderlichen zusätzlichen Pakete händisch nach. Dabei habe ich festgestellt, dass da bei einigen Paketen einige der erforderlichen Module fehlen (firewall, ip usw.). Und beim Cudy fehlt am ersten Tag noch viel mehr ... .
Dann lehne ich mich erst einmal entspannt zurück und warte 1-2 Tage oder mitunter auch etwas länger.
Und erst, wenn wirklich alles funktioniert, dann erstelle ich mit dem Firmware-Selektor für jeden bei mir eingesetzten Gerätetyp einschließlich der Reservegeräte ein Image, beobachte die Ausgaben, und spiele dieses Image dann via (VPN und) GUI ein. Da alle Gerätetypen mehrfach eingesetzt werden, ist das für mich die effektivste Lösung.
Sicherlich ist das, wegen der vielen Geräte ein etwas aufwändiger Vorgang, aber ich musste dadurch auch noch keines meiner sehr weit entfernt stationierten Geräte zurückrufen. Im Endeffekt mache ich nichts anderes, als ich es in den Jahren meiner Berufstätigkeit gewohnt war - erst gründlich testen, dann ausrollen ... .

Und: Ich kann den Machern von OpenWrt nur für Ihre Arbeit danken - und auch akzeptieren, dass nicht alles in den Repos immer sofort verfügbar ist.

Grüße aus der Eifel!

 

[Confluencer]

Löbliches vorgehe! Ich bin da tatsächlich etwas fauler

Ich falle tatsächlich nur auf das blanke Sysupgrade Image zurück, wenn es mit Attended Sysupgrade nicht funktioniert. Wenn etwas mit dem Attended Sysupgrade schiefläuft, dann eigentlich nur beim Bauen des Images.

Alle zwei Wochen lasse ich auch für die besehende Firmware Version eine Attended Sysupgrade laufen, da dann die Pakete in den aktuellen Versionen Teil der Firmware werden. Sollte mal ein Werksreset notwendig sein, dann sind schon alle Pakete da, und es muss nur noch ein Backup der Konfiguration eingespielt werden und Klimmzüge machen zu müssen.

Ich finde es auch nicht schlimm, dass es da mal klemmt. Ich bin erst seit der 23.x dabei. Seitdem habe ich nur ein Mal Probleme gehabt, als ich es damals für eine gute Idee gehalten habe wöchentlich über opkg aktualisiert habe, was laut OpenWRT Doku ein explizit nicht gewolltest Vorgehen ist. Stattdessen wird empfohlen über Attended Sysupgrade das System aufzufrischen.

 

[Der Eifelsachse]

[OT]
Ich denke, das hat nichts mit mehr oder weniger "Faulheit" zu tun.
1. Habe ich als älterer und schon lange nicht mehr im Arbeitsprozess stehender Mensch bestimmt mehr Freizeit als du.
2. Ist es schon ein aufregendes Gefühl, an 8 sehr weit entfernten Geräten "herumzuschrauben", wenn eben jede Handlung über das VPN geht - und in 7 Fällen kein Fachmann am anderen Ende greifbar ist.
Ja, ich könnte dann anrufen (ach Sch<zensiert>, ist ja ohne VPN ein teures internationales Gespräch ...) und anweisen, das (voll geklonte) Reservegerät anzuschließen. Aber ich kann eben diese Peinlichkeit bzw. den Aufwand durch rechtzeitiges und gründliches Nachdenken und entsprechende Vorarbeit vermeiden. Also in genau der Art und Weise, wie ich es in meiner Arbeit gewohnt war.
[/OT]

So, wie in #4 beschrieben, verfahre ich allerdings nur beim Vorliegen eines richtigen Upgrades der Firmware, also von 25.12.3 auf .4.
Beim Update der einzelnen Pakete reicht mir ein wöchentliches

ssh <Ziel> "owut upgrade"

Anfangs kommt ja fast täglich was neues. Wobei ich hier hin- und hergerissen bin. Zum einen ist für mich aktuelle Software wichtig - und zum anderen denke ich immer an die begrenzte Lebensdauer der Speicherbausteine. Vermutlich werden mich meine Router wohl überleben.

 

[Confluencer]

Hast schon recht. Wenn bei mir was nicht hinhauen sollte, dann kostet es mich im Zweifel 20-30 Minuten Zeit es zu fixen. Währenddessen muss ich das Genörgel von zwei Jungerwachsenen aushalten.

owut kannte ich noch gar nicht. Wirkt wie eine Terminal-Variante von Attended Sysupdate.
Merke ich mir direkt Danke für den Tipp!