OpenWrt 25.12.5 behebt diverse Sicherheitslücken

Die freie Router-Software OpenWrt schließt in der aktuellen Version 25.12.5 verschiedene kritische Sicherheitslücken.

Die freie Router-Software OpenWrt schließt in der aktuellen Version 25.12.5 verschiedene kritische Sicherheitslücken. Die Lücken sind teils aus der Ferne ausnutzbar und stecken in zentralen Netzwerkdiensten, die standardmäßig aktiviert sind. Eine Aktualisierung wird dringend empfohlen.

Betroffen sind gemäß der Ankündigung der Entwickler auf Github die Komponenten odhcpd und das Webinterface LuCI. Mehrere Sicherheitslücken, die von einem Angreifer im selben Netzwerk aus ausgenutzt werden konnten, wurden durch eine Aktualisierung von odhcpd behoben.

Zum Webinterface heißt es, dass ein nicht authentifizierter DHCPv6-Client über einen manipulierten FQDN-Hostnamen Zeilen in die Lease-Datei einschleusen konnte, was zu einem „Stored Cross-Site Scripting“-Angriff auf der LuCI-Statusseite für DHCPv6-Leases führte. Das Problem wurde laut Entwickler behoben, indem Client-Hostnamen in der Lease-Statusdatei mit Escape-Zeichen versehen wurden.

Neben den beschriebenen Problemen behebt diese Version laut den Entwicklern eine Reihe weiterer Sicherheitsprobleme, für die keine CVE-Nummer oder kein eigener Sicherheitshinweis vergeben wurde.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben