Das OpenWrt-Projekt hat die Version 25.12.0 der Open-Source-Router-Firmware veröffentlicht. Besonders stechen darin die zahlreichen unterstützten Geräte und der Wechsel auf eine neue Paketverwaltung hervor.

In den Release-Notes liefert OpenWrt einen Überblick über die Änderungen. Als wichtigen Punkt vorneweg nennen die Entwickler, dass das Upgrade von OpenWrt 24.10 auf 25.12 in vielen Fällen vom sysupgrade-Werkzeug unterstützt wird, das versucht, die Konfiguration mitzumigrieren. Dennoch sollten Upgrade-Willige zuvor ein Backup ihrer Konfiguration anlegen, raten die OpenWrt-Programmierer. An OpenWrt 25.12.0 haben die Entwickler über ein Jahr lang gearbeitet und kommen auf mehr als 4700 Quellcode-Commits seit Fassung 24.10. Der Codename „Dave’s Guitar“ soll der Erinnerung des im April 2025 verstorbenen Dave Täht dienen.

OpenWrt: Änderungen unter der Haube

Der Paketmanager wechselt vom alten opkg zu apk (Alpine Package Keeper). Wichtigster Grund dafür ist, dass das OpenWrt-opkg nicht mehr unterstützt und apk weiterhin gepflegt wird. Nur wenige Paketnamen haben sich geändert. Ein Cheatsheet soll beim Umsteigen hilfreiche Informationen liefern. Außerdem liefert OpenWrt nun eine webbasierte „attended.sysupgrade“-LuCI-App (ASU) mit. Auf Geräten mit größerem Flash-Speicher installiert OpenWrt außerdem das Kommandozeilen-Tool „owut“ (OpenWrt Upgrade Tool) standardmäßig mit. ASU soll auf neue OpenWrt-Versionen aktualisieren und Firmware-Images automatisch mit allen derzeit installierten Paketen zusammenbauen können. Dabei erhält es die Systemkonfiguration und erlaubt die Integration zusätzlicher installierter Pakete direkt in das SquashFS-Dateisystem. Das soll Upgrades deutlich vereinfachen: Mit nur wenigen Klicks in LuCI und nach kurzer Wartezeit steht ein angepasstes Firmware-Abbild bereit, das ohne weitere manuelle Eingriffe installiert wird.

Außerdem speichert OpenWrt in einem RAM-basierten Dateisystem den Befehlsverlauf der Shell. Der steht damit auch nach neuen Logins bereit. Das erspart unnötige Schreibzugriffe auf den Flash-Speicher, der nur eine begrenzte Zahl an Schreibzyklen verkraftet. Das lässt sich jedoch umstellen, sodass auch persistente Speicherung auf dem Flash-Speicher möglich ist. Das erhöht jedoch die Schreibzyklen und wirkt sich auf die Flash-Lebensdauer aus, warnen die Entwickler.

Hard- und Software-Unterstützung

Hardwareseitig gibt es mehr Unterstützung für Realtek-Ziele, dort insbesondere mehr Switch-SoCs mit 10-GBit-Support. Das qualcommax-Ziel unterstützt zwei weitere SoCs. Neu dabei ist ein siflower-Build-Target und neue Sub-Targets für Allwinner-F1C100/200s-SoCs. Ebenfalls neu dabei ist der Microchip LAN969x-Switch-Chipsatz. Insgesamt kommt OpenWrt nun auf mehr als 2200 unterstützte Geräte. Seit OpenWrt 24.10 sind 180 neu dazugekommen.

Die Software ist ebenfalls aktueller: Der Linux-Kernel 6.12.71 kommt für alle Build-Targets zum Einsatz, außerdem sind die Stände von glibc 2.41, gcc 14.3.0, binutils 2.44 dabei. Als zentrale Komponenten sind nun die Fassungen busybox 1.37.0, dropbear 2025.89 und dnsmasq 2.91 Bestandteil von OpenWrt. OpenWrt 24.10 erreicht mit dem Release von OpenWrt 25.12.0 in sechs Monaten das Support-Ende, also gibt es dafür nach September 2026 keine Sicherheitsupdates mehr. Nutzer sollten daher die Zeit nutzen und zeitnah auf die neue Version aktualisieren.

Ende Oktober musste das OpenWrt-Projekt Sicherheitslücken schließen. Die haben Angreifern etwa das Einschleusen und Ausführen von Schadcode oder das Ausweiten ihrer Rechte im System ermöglicht.

(dmk)

Auf IT-Konferenzen sind Frauen noch immer deutlich unterrepräsentiert – auf der Bühne ebenso wie im Publikum. Kann eine Frauenquote helfen, strukturelle Hürden und unbewusste Vorurteile abzubauen? Katrin Rabow setzt sich für mehr Diversität in der IT ein und beschäftigt sich mit der Frage, wie sich der Frauenanteil in der Branche nachhaltig steigern lässt. Wir sprechen mit ihr über Quoten, Sichtbarkeit und das Leistungsprinzip in einer stark männerdominierten Branche.

Katrin Rabow arbeitet als Freiberuflerin in unterschiedlichen Rollen rund um Softwareentwicklung – von Requirements Engineering bis Softwaretests – und engagiert sich für mehr Sichtbarkeit von Frauen in der IT. Auf der JavaLand-Konferenz, die vom 9. bis 11. März im Europapark Rust stattfindet, hält sie den Vortrag „Bühne frei für alle – warum wir eine Frauenquote auf IT-Konferenzen brauchen“.

Ist die Frauenquote für dich ein dauerhaftes Instrument oder eine Übergangslösung? Woran würdest du erkennen, dass sie nicht mehr notwendig ist?

Ich wünsche mir, dass Geschlechterquoten bald der Vergangenheit angehören. Aktuell können sie aber eine sehr positive Wirkung entfalten, weil sie die oft unbewussten Vorurteile gegen Frauen in technischen Berufen reduzieren. Wir schaffen nicht nur mehr Chancen für Frauen, sondern auch die Nachfrage nach Frauen steigt durch eine Quote. Das und die Sichtbarkeit sogenannter Role Models führt zu einer höheren Motivation bei anderen Frauen und jungen Mädchen, überhaupt erst in unsere Branche einzusteigen. Wenn ich das erste Mal auf einer Tech-Konferenz an der Frauentoilette anstehen muss, weiß ich, dass wir keine Quote mehr brauchen.

Wie lässt sich messen, ob Frauen auf einer IT-Konferenz gehört werden – und nicht nur der Quote wegen anwesend sind?

Ein starkes Gegenindiz sind sogenannte „Manels“. Das sind Panels, zu denen entweder gar nicht erst Frauen eingeladen werden oder wo eine Alibi-Frau mit auf der Bühne sitzen darf, aber nicht in die Diskussion einbezogen wird. Dahinter steht oft, dass Frauen in traditionell männlichen Berufen als weniger kompetent wahrgenommen werden. Positiv fällt mir auf, wenn Talks von weiblichen Sprecherinnen auf Social Media verbreitet und vor allem auch zitiert werden.

Kritiker argumentieren, eine Quote untergrabe das Leistungsprinzip. Wie begegnest du diesem Vorwurf – gerade in einer stark leistungsorientierten Branche wie der IT?

In unseren Köpfen ist tatsächlich tief verwurzelt, wir müssten uns nur genügend anstrengen, dann könnten wir alles erreichen. Leider stimmt das so aber nicht, denn es gibt eine ganze Reihe von Vorurteilen, die das verhindern. So nehmen wir beispielsweise durchsetzungsstarke und analytisch denkende Frauen eher negativ wahr – obwohl das Eigenschaften sind, die wir bei Männern in der gleichen Rolle suchen. Generell werden Frauen in männlich dominierten Branchen wie der IT eher negativ bewertet. Eine Studie unter anderem von Josh Terrell von 2017, die die Akzeptanz männlicher versus weiblicher Pull Requests in Open-Source-Projekten untersuchte, kam zu dem Schluss, dass Frauen auf GitHub insgesamt kompetenter sind. Ihre Pull Requests wurden häufiger akzeptiert – allerdings nur, solange ihr Geschlecht nicht erkennbar war!

Katrin, vielen Dank für die Antworten!

In der Serie „Drei Fragen und Antworten“ will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vor dem PC, die Sicht der Managerin oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.

(mdo)

Die KI-Entwicklungsfirma Anthropic hat in zwei Wochen mehr Schwachstellen im Browser Firefox gefunden als die Community in zwei Monaten. Dies bestätigten jetzt die für Firefox zuständige Mozilla Foundation und Anthropic laut einem Medienbericht. An dem internen Test zeige sich, wie stark KI beim Aufspüren von Sicherheitslücken zur Verbesserung von Software beitragen könne. Sicherheitsforscher aber warnen: Diese Werkzeuge gelangen auch in die Hände jener, die damit nichts Gutes im Schilde führen.

Das aktuelle KI-Modell Claude Opus 4.6 habe bereits binnen 20 Minuten den ersten Firefox-Bug gefunden, berichtet das Wall Street Journal. In zwei Wochen habe das Modell insgesamt über 100 Fehler aufgespürt, davon 14 mit einem hohen Schweregrad. Zum Vergleich: Mozilla patchte im vergangenen Jahr 73 Bugs, die als hochkritisch oder kritisch gelten.

Beim Ausnutzen ist die KI schwächer

Positiv ist, dass das verwendete KI-Modell beim Aufspüren von Sicherheitslücken gewandter gewesen sei als im Ausnutzen, heißt es. So sei es der KI nur in zwei Fällen gelungen, funktionierende Exploits zu schreiben. Diese hätten aber auch nur in einer Testversion von Firefox funktioniert. Unter realen Bedingungen wären diese durch Sicherheitsmechanismen des Browsers gestoppt worden. Sicherheitsforscher warnen dennoch davor, dass KI zum Wegbereiter wird und Bugs schneller gefunden und ausgenutzt werden können. Auch der Kryptologe Bruce Schneier sieht ein Wettrüsten zwischen Angreifern und Verteidigern durch den Einsatz von KI-Tools.

Für Entwickler von Open-Source-Projekten liegen beim Auffinden von Bugs per KI allerdings Freud und Leid nah beieinander. Etliche Entwickler klagen über automatisiert abgegebene Fehlerberichte, die auf Halluzinationen der verwendeten KI-Modelle gründen. Hier sei Anthropics Versuch eine Ausnahme gewesen, da nur reproduzierbare Bugs an die Firefox-Entwickler weitergegeben wurden. Um Fehlalarme zu minimieren, setzt das Unternehmen bei seinem neuen Werkzeug Claude Code Security auf eine kontextbasierte Analyse statt auf einen reinen Musterabgleich. Curl-Entwickler Daniel Stenberg beklagte etwa, dass im Jahr 2025 nur einer von 20 gemeldeten Bugs real existierte.

Firefox sei als Testobjekt ausgewählt worden, da der Browser durch sein Bug-Bounty-Programm, das seit über 20 Jahren besteht, als intensivst geprüfter Browser der Welt gilt. Damit habe man es der KI nicht leicht gemacht, auf Fehler zu stoßen, was ihre Leistungsfähigkeit untermauern sollte.

(mki)