Freies Router-OS: OpenWrt 25.12.4 schließt auch gravierende Sicherheitslücken

Das Open-Source-Router-Betriebssystem OpenWrt hat mit der Veröffentlichung von Version 25.12.4 einen weiteren Sicherheits-Patch veröffentlicht. Bemerkenswert ist, dass Patch 3 erst vor rund einer Woche erschienen war.

OpenWrt 25.12.4 adressiert mehrere kritische CVEs (Common Vulnerabilities and Exposures), die sowohl die Stabilität als auch die Sicherheit von Routern betreffen. Nutzer von OpenWrt sollten daher zeitnah auf die neue Version aktualisieren, um ihre Netzwerke gegen mögliche Angriffe zu schützen.

Die behobenen Sicherheitslücken sind:

• CVE-2026-2291: Ein Fehler in der Verarbeitung von DNS-Domainnamen kann zu einem Speicherüberlauf in dnsmasq führen. Angreifer könnten dadurch den Dienst abstürzen lassen oder unter Umständen manipulierte DNS-Antworten einschleusen.
• CVE-2026-4890 / CVE-2026-4891: Diese beiden Lücken betreffen die DNSSEC-Prüfung von dnsmasq. Speziell präparierte DNSSEC-Daten können dnsmasq zum Absturz bringen oder Speicherfehler auslösen.
• CVE-2026-4892: Bei sehr großen DHCPv6-Client-IDs kann es zu einem Speicherüberlauf kommen. Laut OpenWrt ist das nur relevant, wenn dnsmasq mit --dhcp-script genutzt wird.
• CVE-2026-4893: dnsmasq prüft EDNS-Client-Subnet-Daten nicht korrekt. Dadurch können bestimmte DNS-Zusatzinformationen missbraucht werden, etwa um Prüfungen zu umgehen oder DNS-Verhalten zu beeinflussen.
• CVE-2026-5172: Manipulierte DNS-Resource-Records können in dnsmasq einen Speicherfehler auslösen. In der Praxis droht vor allem ein Absturz des DNS-Dienstes.
• CVE-2026-43284 „Dirty Frag“: Diese Kernel-Lücke erlaubt eine lokale Rechteausweitung, also den Sprung von eingeschränkten Rechten zu Root. Für OpenWrt ist sie vor allem relevant, wenn IPsec/ESP-Module wie esp4 oder esp6 geladen sind.

Die schnelle Folge von Patch 3 zu Patch 4 zeigt, wie dynamisch sich Sicherheitsanforderungen im Bereich Router-Software entwickeln. Während Patch 3 vor allem Stabilitätsprobleme und kleinere Sicherheitslücken behob, konzentriert sich Patch 4 auf teils gravierende Einfallstore für Exploits, die Angreifern potenziell vollständigen Zugriff auf Geräte hätten ermöglichen können.

Für Administratoren und technikaffine Nutzer bedeutet der neue Patch, dass zeitnahes Handeln gefragt ist. Wer OpenWrt auf seinen Routern einsetzt, sollte die neue Version einspielen. Das Update ist über die gewohnten OpenWrt-Kanäle verfügbar und kann unter anderem unkompliziert über die Weboberfläche installiert werden.

Neue Hardware-Unterstützung

Version 25.12.4 bringt auch Unterstützung für weitere Hardware mit sich. So wird das MikroTik RouterBOARD 960PGS sowie vier Varianten (E/H/P/S) des Cudy WR3000 v1 neu unterstützt.