Datenschutz & Sicherheit
OpenWrt: Service-Releases schließen kritische Sicherheitslücken
Das OpenWrt-Projekt hat die Service-Releases 25.12.1 und 24.10.6 veröffentlicht. Die korrigieren einige kleinere Fehler, aber auch als kritisches Risiko eingestufte Sicherheitslücken. Wer OpenWrt einsetzt, sollte daher zeitnah die Aktualisierungen anwenden.
Weiterlesen nach der Anzeige
Das OpenWrt-Projekt hat für das Release 25.12.1 und für Release 24.10.6 je eine Übersicht der Änderungen herausgegeben. Die Schwachstellen betreffen die Vorgängerversionen beider Entwicklungszweige gleichermaßen. Zwei Sicherheitslücken im mdnsd erhalten eine Einstufung als kritisches Risiko. Bei der einen handelt es sich um einen möglichen Pufferüberlauf auf dem Stack beim Verarbeiten bösartig präparierter PTR-Anfragen für Reverse-DNS-Domains. Die Schwachstelle lässt sich ausnutzen, sofern der Daemon Multicast-DNS-Queries auf UDP-Port 5353 empfängt (CVE-2026-30871, CVSS4 9.5, Risiko „kritisch“). Dasselbe kann beim Verarbeiten von IPv6-Rückwärtsauflösungen passieren (CVE-2026-30872, CVSS4 9.5, Risiko „kritisch“)
In der Oberfläche können Angreifer den WLAN-Scan-Modus für Cross-Site-Scripting-Angriffe missbrauchen, da die SSIDs in der Anzeige der Scan-Ergebnisse als roh-HTML behandelt werden, ohne jedwede Prüfung oder Filterung (CVE-2026-32721, CVSS 8.6, Risiko „hoch“). Zwei weitere Schwachstellen, die die Updates ausbessern, stellen jedoch lediglich ein niedriges Risiko dar (CVE-2026-30873, CVSS4 2.4; CVE-2026-30874, CVSS4 1.8; beides Risiko „niedrig“).
OpenWrt-Updates: Weitere Korrekturen
Die Release-Übersichten listen jeweils noch diverse weitere Verbesserungen und Korrekturen auf. Die Version 24.10.6 etwa aktualisiert OpenSSL und schließt somit mehrere Sicherheitslücken darin. Die 25.12.1-Fassung korrigiert außerdem weitere Schwachstellen ohne CVE-Einträge, konkret in odhcpd und procd. Interessierte finden dort zudem noch Hinweise zu Korrekturen, die bestimmte unterstützte Geräte oder Komponenten und Module des Betriebssystems betreffen. Aufgrund des Schweregrads der Lücken sollten OpenWrt-Nutzer und -Nutzerinnen die Updates zeitnah anwenden.
Die Version 25.12.0 von OpenWrt kam erst vor rund zwei Wochen heraus. Die herausstechendste Änderung darin war der Wechsel des Paketmanagers für die Softwareverwaltung.
Siehe auch:
Weiterlesen nach der Anzeige
(dmk)