// COMPUTERBASE — MOBILE & WEB
Freies Router-OS: OpenWrt 25.12.5 schließt kritische Lücken
OpenWrt 25.12.5 ist als fünftes Service-Release der aktuellen 25.12-Serie erschienen. Das Update fällt ungewöhnlich sicherheitslastig aus und schließt mehrere Schwachstellen in standardmäßig aktiven Netzwerkdiensten, der Weboberfläche LuCI und zentralen Komponenten wie Kernel, OpenSSL und Dropbear.
Im Mittelpunkt stehen Korrekturen für odhcpd, den in OpenWrt genutzten Dienst für DHCP, DHCPv6 und Router Advertisements. Dort konnten speziell präparierte Pakete aus dem lokalen Netzwerk zu Abstürzen, Speicherproblemen oder im schlimmsten Fall zu weitergehenden Angriffen führen. Relevant ist das vor allem, weil der Dienst auf vielen OpenWrt-Systemen zur Grundausstattung gehört.
Auch die Weboberfläche LuCI wurde abgesichert. In Kombination mit odhcpd war unter anderem ein Cross-Site-Scripting-Angriff über manipulierte Hostnamen möglich, das heißt ein Gerät im Netzwerk hätte schädliche Inhalte so einschleusen können, dass sie später in der OpenWrt-Oberfläche auftauchen. Weitere LuCI-Erweiterungen konnten in bestimmten Konstellationen dazu führen, dass Nutzer mit eingeschränkten Rechten mehr ausführen durften als vorgesehen.
Neben LuCI und odhcpd bringt OpenWrt 25.12.5 auch Aktualisierungen für uhttpd, OpenSSL, musl libc, Dropbear und den Linux-Kernel. Damit werden weitere Sicherheitsprobleme behoben und einzelne Komponenten auf neuere Stände gebracht.
Zusätzlich erweitert das Release die Geräteunterstützung, unter anderem für neue Router von Linksys, GL.iNET, TP-Link, Zyxel und Cudy. Bei WLAN wurden mehrere Fehler korrigiert, darunter Probleme mit 6-GHz-Radios, EAP-Verbindungen und DFS-Hinweisen.
Die vollständige Liste der Fehlerbehebungen kann auf der Webseite von OpenWrt eingesehen werden.
Die OpenWrt-Entwickler empfehlen die Aktualisierung ausdrücklich. Firmware-Images stehen über den Firmware Selector und die Download-Server bereit. Nutzer der 25.12-Serie können für das Update auch Attended Sysupgrade verwenden.