在 25.12.3 版本发布仅仅一周后,OpenWrt 社区火速推出了 25.12.4 服务更新。本次代号仍为“Dave's Guitar”的紧急发布,主要目的是应对近期在核心网络组件中发现的一系列高危安全漏洞。

紧急修复:dnsmasq 与 Dirty Frag

本次更新的头号重点是修补关键安全缺陷:

  • dnsmasq 高危漏洞合集:从上游 backport 了 6 个补丁,共修复 7 个 CVE 漏洞。其中包括可能导致堆缓冲区溢出的 CVE-2026-2291、通过伪造 DNSSEC 数据包引发服务崩溃的 CVE-2026-4890 / 4891 / 4893,以及 CVE-2026-5172 等在特定场景下的缓冲区溢出问题。对于广泛依赖 dnsmasq 提供 DNS 和 DHCP 服务的 OpenWrt 设备而言,这些漏洞的潜在影响极大。

  • Dirty Frag 本地提权:修复了 Linux 内核编号为 CVE-2026-43284 的“Dirty Frag”漏洞。该漏洞位于 IPsec ESP 路径中,虽然仅影响加载了 kmod-ipsec 相关模块的设备,但可能被利用进行本地权限提升,威胁等级较高。此修复随 6.12.87 内核更新一并交付。

设备支持与关键修复

在紧急安全维护的同时,开发团队也合并了多项设备兼容性改进:

  • 新增设备支持:本次新增了 MikroTik RouterBOARD 960PGS (hEX PoE / PowerBox Pro),并为 Cudy WR3000 系列的多个变体添加了 ubootmod 构建选项。

  • 关键设备修复

    • Sitecom WLR-7100:修复了 MAC 地址分配与 5 GHz WiFi LED,并将其迁移至 tiny 目标以节省约 800 KiB 闪存空间。

    • Cudy 系列:禁用了此前在 ubootmod NAND 构建中被错误启用的 NMBM,解决了 NAND 无法正常使用的问题。

    • Pakedge WR-1:恢复了 WLAN LED 上丢失的频段标签。

WiFi 与系统组件升级

  • WiFi 脚本:修复了 wpa_supplicant ucode 生成器中的 basic_rate 映射错误。

  • mac80211:更新至 6.18.26 版本,带来多项稳定性改进。

  • 内核:基础 Linux 内核随安全修复升级至 6.12.87。

升级提醒

由于此次更新包含了针对网络基础服务的高危漏洞修复,社区强烈建议所有运行 25.12 系列固件的用户在条件允许的情况下尽快升级。从 24.10 升级至 25.12 的过程在大多数设备上仍然透明,但以下注意事项仍然生效:

  • 严禁保留配置从 23.05 或更早版本直接升级。

  • Bananapi BPI-R4 用户需不保留配置升级;TP-Link RE355 v1 等用户仍需使用 sysupgrade -F 强制升级。

  • Meraki MX60 用户必须手动调整 meraki_loadaddr 后方可升级。

此次快速迭代再次彰显了 OpenWrt 社区对安全问题的响应速度。用户可立即通过固件选择器下载 25.12.4 固件,或使用参与式升级工具保留已安装的软件包进行平滑更新。