OpenWrt 25.12.3

OpenWRT logo (79 pix) Versie 25.12.3 van OpenWrt is uitgekomen. OpenWrt is alternatieve opensourcefirmware voor een groot aantal verschillende routers en embedded devices. Door middel van het apk-packagemanagementsysteem is er de mogelijkheid om zelf te bepalen wat de router allemaal wel en niet kan. Ook op GoT zijn er diverse mensen actief mee bezig: zie daarvoor dit topic. Bijwerken van de versie kan met een Attended Sysupgrade, handmatig met een voorgecompileerde firmwareversie van het apparaat dat je gebruikt of compileer je eigen variant met de firmwareselectie. De changelog voor deze uitgave kan hieronder worden gevonden.

Security fixes

Linux kernel: fixes CVE-2026-31431 (“Copy Fail”). The vulnerability only triggers when the kernel is built with CONFIG_CRYPTO_USER_API, which is enabled by the kmod-crypto-user package and is always enabled on the starfive target. Devices that are not on the starfive target and do not have kmod-crypto-user installed are not affected.

mbedtls: update to 3.6.6 (multiple CVE fixes)

OpenSSL: update to 3.5.6 (multiple CVE fixes)

wolfSSL: update to 5.9.1 (multiple CVE fixes)

Device support New devices supported in 25.12.3:

mediatek: filogic: ASUS RT-AX52 PRO

mediatek: filogic: D-Link AQUILA PRO AI E30

mediatek: filogic: Huasifei Wb000 Pro (NAND variant)

mediatek: filogic: Keenetic KAP-630 / Netcraze NAP-630

mediatek: filogic: Zbtlink ZBT-Z8103AX-D

mediatek: filogic: Zbtlink ZBT-Z8106AX-T

mediatek: filogic: Zyxel WX5600-T0

ramips: EDUP EP-RT2983

ramips: mt76x8: Cudy LT300 v3

x86: DFI ADN553

x86: DFI ASL553

Device fixes:

ath79: Netgear WNDAP360: multiple fixes restoring proper operation (sysupgrade, kernel loader, ethernet, LED, serial baud rate and U-Boot environment)

ath79: Extreme Networks WS-AP3805i: fix U-Boot environment configuration

ath79: Mikrotik: fix included device packages

ipq50xx: Linksys MX5500: add label MAC device assignment

lantiq: Netgear DGN3500: fix U-Boot environment size — device was broken on 25.12 (#22692)

mediatek: filogic: Bananapi BPI-R4: add device tree overlay for the BE14 WiFi 7 module — fixes very low WiFi TX power on this module (#17489)

mediatek: filogic: Keenetic KN-1812: various Ethernet PHY device tree fixes (PHY reset, interrupt support, MDIO drive strength, partition naming, xsphy node)

mediatek: filogic: Netgear EAX17: fix rootfs hash in FIT node for per-device rootfs builds

mediatek: filogic: CMCC RAX3000M: add Airoha AN8855 switch support (#21230)

mvebu: ClearFog Base/Pro: fix switch kernel module

qualcommax: ipq50xx: Xiaomi AX6000: enable PCIe1 for QCA9887

qualcommax: ipq807x: Linksys MX5300: add label MAC assignment

ramips: Yuncore CPE200: fix EEPROM size

ramips: mt7621: fix reset hang

ramips: Wavlink WL-WN575A3: fix EEPROM size for 5 GHz WiFi

ramips: Xiaomi Mi Router 4C: fix WAN LED GPIO (#18578)

WiFi fixes and improvements

wifi-scripts: fix incorrect erp_domain and fils_cache_id values generated by the ucode-based config script (#21768)

wifi-scripts: add missing bridge_isolate and network_vlan fields to the ucode schema (#22620)

wifi-scripts: add missing iface and other fields to the ucode station/vlan schema (#22165)

wifi-scripts: add EHT (WiFi 7) rates to set_fixed_freq

Networking and system fixes

mbedtls: backport upstream patches to fix TLS 1.2 client issues — fixes a regression that broke DDNS updates and other TLS 1.2 client connections; the regression was introduced in mbedtls package updates shipped after the 25.12.2 release (OpenWrt packages follow a rolling release model) (#22874)

base-files: sysupgrade: fix -u option (skip default configuration) which was broken with apk

base-files: sysupgrade: fix -f (custom backup) when the path contains spaces

base-files: sysupgrade: update backup exclusion list

base-files: use DISKSEQ instead of MAJOR/MINOR for stable disk identification (MAJOR/MINOR are not sequential)

lantiq: fix mtdparsers refcount and memory leak

uqmi / umbim: introduce devpath option for selecting cellular modems by USB device path

Core component updates

Linux kernel: update from 6.12.74 to 6.12.85

ca-certificates: update from 20250419 to 20260223

linux-firmware: update from 20251125 to 20260221

mbedtls: update from 3.6.5 to 3.6.6 (security fixes)

OpenSSL: update from 3.5.5 to 3.5.6 (security fixes)

wireless-regdb: update from 2026.02.04 to 2026.03.18

wolfSSL: update from 5.8.4 to 5.9.1 (security fixes)

OpenWrt 19.07

Lees meer

Reacties (8)

terradrone 6 mei 2026 17:44

Fijn dat ze die copy fail bug meteen gepatched hebben. Direct m'n ap's geflashed.

Reageer

xxs @terradrone • 6 mei 2026 17:53

De builds voor wat minder gangbare hardware zijn nog niet klaar.

Reageer

dingo35 7 mei 2026 09:27

Ik kan me vergissen, maar zover ik weet log je altijd al als root user in op OpenWrt, en dan heeft een lek waarmee je vanuit een unelevated user root kunt worden niet zo heel veel zin....

Reageer

lenwar

@dingo35 • 7 mei 2026 12:27

Ik ben zelf niet bekend met de ins en outs van OpenWRT, anders dan dat het 'een Linux' is. Er zullen dus zat processen op die apparaten zijn die niet als root draaien. (de webinterface, eventuele applicaties, enz.) Zeker webservers, die vaak ook code (laten) uitvoeren voor bijvoorbeeld PHP, kunnen dan ook vervelende dingen doen. (het is niet voor niets dat UNIX en Linux-achtige systemen verschillende users gebruiken voor processen

Reageer

xirixiz @dingo35 • 7 mei 2026 11:25

Ik denk dat het gevaar niet zozeer zit in de gebruiker die al root is, maar in de services die dat niet zijn.

Het gevaar van zit dan meer in een kettingreactie. Een hacker komt binnen via een service die geen root rechten heeft. De hacker gebruikt een privilege escalation lek om wel root te worden.

Dan kan een user als niet root inloggen, maar dat maakt in dat geval dan niet veel uit. Als is het in basis natuurlijk altijd beter/veiliger om niet als root in te loggen... dat vooropgesteld.

https://openwrt.org/docs/guide-user/security/sudo : en wss nog aanpassingen in dropbear zodat je ook echt niet in mag loggen als zijnde root.

Of zie ik dat verkeerd, dat kan natuurlijk ook. Ik ben niet zo'n security expert namelijk

[Reactie gewijzigd door xirixiz op 7 mei 2026 11:29]

Reageer

lenwar

@xirixiz • 7 mei 2026 12:31

De echte security-geeks zullen zeggen dat je überhaupt niet interactief moet inloggen, maar alles via automations/pipelines e.d. doen. Dit is voor thuisgebruik natuurlijk niet realistisch.

Niet als root inloggen is per definitie een goed idee. Als je echter kunt sudoen zonder een wachtwoord-vereiste, dan voegt het al weer minder toe.

Maar goed. Je beschijft het inderdaad goed. De webserver is een mooi voorbeeld. Die draait vaak lokale scripts (PHP/ASP/enz.) Daar kunnen allemaal fouten in zitten. Normaal worden die dan alleen als de webserver-user uitgevoerd, en dan 'valt het wel mee'. Maar als die code als root kunnen uitvoeren door, bijvoorbeeld deze exploit is het al snel vervelender

Reageer

dingo35 7 mei 2026 12:59

Dat zijn allemaal leuke theoretische verhalen, maar als ik op mijn OpenWrt router inlog draait vrijwel alles onder root, dnsmasq heeft zn eigen gebruiker, network, logd, ntp en ubus, maar de webserver, ssh server en de dhcp server en _alle_ andere processen draaien allemaal vrolijk onder root.

Reageer

jve65 15 mei 2026 11:36

Oh, deze kwam er snel overheen: 25.12.4
https://openwrt.org/releases/25.12/notes-25.12.4

Reageer

Om te kunnen reageren moet je ingelogd zijn

Versienummer	25.12.3
Releasestatus	Final
Website	OpenWrt
Download	https://firmware-selector.openwrt.org
Licentietype	GPL

15-05	OpenWrt 25.12.4	0
06-05	OpenWrt 25.12.3	8
27-03	OpenWrt 25.12.2	21
18-03	OpenWrt 25.12.1	24
05-03	OpenWrt 25.12.0	18
20-12	OpenWrt 24.10.5	5
22-10	OpenWrt 24.10.4	14
23-09	OpenWrt 24.10.3	4
08-'25	OpenWrt 23.05.6	4
06-'25	OpenWrt 24.10.2	11

Firmware-update: OpenWrt 25.12.3

Update-historie

Lees meer

Reacties (8)

Update-historie

Lees meer

Reacties (8)

Sorteer op:

Weergave: