OpenWrt 社区骄傲地宣布 OpenWrt 25.12.3 服务更新正式发布。这是 25.12 稳定系列的最新版本,代号为“Dave‘s Guitar”,主要聚焦于安全问题修复、设备支持扩展以及系统稳定性提升。

核心安全加固

本次更新最紧迫的任务是修复近期披露的几个高风险漏洞:

  • Linux 内核:修复了 CVE-2026-31431(被称为“Copy Fail”漏洞)。在早期版本中,此漏洞主要影响 starfive 目标用户以及安装了 kmod-crypto-user 的用户。

  • 加密库全面更新:mbedtls 升级至 3.6.6,OpenSSL 升级至 3.5.6,wolfSSL 升级至 5.9.1。这些更新修复了多个底层加密库的安全缺陷,保障了 TLS 连接的安全性。

设备支持:新增 10 余款硬件

为了保持对新硬件的兼容性,OpenWrt 25.12.3 新增了对以下设备的支持:

  • 联发科 Filogic 平台:ASUS RT-AX52 PRO、D-Link AQUILA PRO AI E30、Huasifei WH3000 Pro、Keenetic KAP-630、Zbtlink ZBT-Z8106AX-T、Zyxel WX5600-T0。

  • RAMIPS 平台:EDUP EP-RT2983、Cudy LT300 v3。

  • x86 平台:DFI ADN553 与 ASL553。

此外,针对 Netgear WNDAP360、Bananapi BPI-R4 等现有设备的具体功能错误(如以太网接口重命名、WiFi 7 模块低功率问题)也获得了重要修复。

WiFi 与网络修复

针对上一版本中的一些顽疾,开发团队做出了针对性优化:

  • WiFi 脚本:修复了 wifi-scripts 在 ucode 脚本中生成的错误值、缺失字段(如 bridge_isolate)以及添加了 WiFi 7 (EHT) 速率支持。

  • mbedtls 回归修复:解决了 TLS 1.2 客户端的连接问题,修复了因早前 mbedtls 补丁导致的 DDNS 更新失败等连接故障。

  • Sysupgrade 修复:修复了升级工具中使用 -u 选项和 -f 路径包含空格时的逻辑错误,并改用 DISKSEQ 进行磁盘识别。

升级注意事项

如果你计划从 24.10 或更早的 25.12.x 版本升级,请务必留意以下几点:

  1. 不兼容旧版配置:严禁保留配置直接从 23.05 或更早版本升级。

  2. 特定设备强制升级:Bananapi BPI-R4 由于接口重命名(eth1/eth2 变更为 sfp-lan/sfp-wan),需不保留配置升级;TP-Link RE355 v1 等型号因分区布局变更,必须使用 sysupgrade -F 强制升级。

  3. 已知问题:Pixel 10 手机连接 WPA3 WiFi 6 接入点仍存在问题,SQM CAKE MQ 调度器在某些配置下吞吐量可能偏低。

用户现可通过固件选择器或官方下载服务器获取新固件。建议所有用户在进行任何升级操作前,备份现有配置文件以防万一。