OpenWrt 25.12.5 исправляет критические уязвимости в odhcpd, uhttpd и LuCI

OpenWrt

Проект OpenWrt выпустил пятое сервисное обновление стабильной ветки 25.12. Релиз 25.12.5 закрывает несколько десятков уязвимостей, многие из которых допускают удалённую эксплуатацию без аутентификации. Разработчики настоятельно рекомендуют обновить прошивку на всех устройствах под управлением этой платформы.

Детали уязвимостей

Наиболее опасные проблемы обнаружены в пакете odhcpd, который отвечает за обслуживание DHCPv4/DHCPv6 и RA (Router Advertisement) и включён по умолчанию. Критическая уязвимость CVE-2026-53921 позволяет атакующему из соседней сети вызвать переполнение стекового буфера при помощи специально сформированного DHCPv6-запроса. В случае успешной эксплуатации злоумышленник смог бы выполнить произвольный код на маршрутизаторе.

С высокой степенью риска оценены ещё две проблемы в odhcpd. CVE-2026-53918 - это use-after-free в обработчике DHCPv6 IA, который может привести к отказу в обслуживании или потенциальному выполнению кода. CVE-2026-53920 раскрывает содержимое стека через усечённую опцию IA_NA/IA_PD - атакующий получает фрагменты памяти, которые могут содержать конфиденциальные данные. Умеренно опасные CVE-2026-53922 и CVE-2026-55606 вызывают отказ в обслуживании через целочисленное переполнение и перечитывание буфера при несоответствии порядка байтов длины DUID соответственно. Кроме того, исправлена ошибка в NDP-ретрансляторе, нарушающая RFC 4861: без дополнительной проверки hop limit off-link атакующий мог подменять Neighbor Solicitation и проводить отравление кэша соседей.

В веб-сервере uhttpd устранены три уязвимости, связанные с контрабандой HTTP-запросов (HTTP request smuggling). CVE-2026-55612 и CVE-2026-55614 (высокий уровень) позволяют злоумышленнику вмешаться в обработку keep-alive соединений и добиться некорректного разбора запросов. Третья, CVE-2026-55613, даёт сбой синхронизации при ошибке парсинга POST-тела через ubus. Эти атаки потенциально открывают путь к обходу аутентификации или перехвату трафика.

Закрыт ещё один критический дефект - хранимая межсайтовая XSS в LuCI (веб-интерфейсе OpenWrt). Неаутентифицированный DHCPv6-клиент мог записать в файл аренды строку с поддельным FQDN-именем, которое затем отображалось на странице статуса DHCPv6 без экранирования. В результате при просмотре администратором страницы аренд атакующий получал возможность выполнить JavaScript в контексте сессии администратора.

Отдельная серия исправлений затронула модули LuCI. В приложениях tailscale-community, advanced-reboot, adblock-fast, samba4, travelmate, upnp, а также в модулях luci-mod-network и luci-mod-status выявлены уязвимости, позволяющие пользователю с ограниченными (делегированными) правами или неаутентифицированному клиенту в локальной сети повысить привилегии до root или выполнить инъекцию скриптов. Например, в luci-app-tailscale-community (критический уровень, CVSS 9.9) команда tailscale.do_login даёт возможность выполнения произвольных команд от root напрямую. В luci-app-advanced-reboot (CVE-2026-55897) делегированный доступ на чтение к файлу /bin/sh через file.exec позволяет запускать shell от имени администратора. Другие приложения, такие как adblock-fast и samba4, также содержат бреши, ведущие к выполнению кода, а в upnp и статусных модулях найдены XSS-уязвимости, которые может эксплуатировать клиент из ЛВС.

Менее опасные, но всё же заслуживающие внимания проблемы включают недостаток в cgi-io: путь обхода каталогов в cgi-download позволяет аутентифицированному пользователю с правами на чтение (wildcard) читать любые файлы, доступные root, включая /etc/shadow. В аварийном демоне ead (CVE-2026-55490) целочисленное переполнение в функции handle_send_a() вызывает отказ в обслуживании до аутентификации. Обновлены базовые компоненты: ядро Linux с 6.12.87 до 6.12.94, что закрывает CVE-2026-43500 и другие; OpenSSL обновлён до 3.5.7 - исправлены 14 уязвимостей, включая CVE-2026-7383, CVE-2026-9076 и ряд других. В musl libc бэкпортированы исправления для CVE-2026-6042 и CVE-2026-40200, а в dropbear (SSH) добавлены патчи из версий 2026.90 и 2026.91 (CVE-2019-6111 - подмена файлов через scp, и CVE-2026-35385).

"Мы настоятельно рекомендуем обновиться до последнего стабильного релиза OpenWrt и установить все доступные обновления пакетов", - говорится в анонсе сообщества. Пользователям, работающим на версиях 24.10 и выше, достаточно выполнить штатную процедуру sysupgrade с сохранением конфигурации. Для владельцев устройств TP-Link RE355/RE450 и Meraki MX60 предусмотрены особые инструкции, обязательные к прочтению перед обновлением.

Релиз также расширяет аппаратную поддержку: добавлены 11 новых моделей, в том числе Linksys MR9000, GL.iNET GL-MT3600BE, TP-Link F65 v1 и Zyxel NAS326. Исправлены ошибки загрузки на MikroTik (ath79) и стабильности на платформе mediatek.

Выход 25.12.5 - очередное напоминание о том, что встроенные сервисы маршрутизаторов, особенно DHCP и веб-интерфейс, остаются привлекательной целью для атак. Разработчики OpenWrt продолжают практику выпуска частых патчей безопасности, и пользователям стоит приучить себя к мониторингу обновлений, а по возможности - к автоматизации обновления через Attended Sysupgrade.

Ссылки

Комментарии: 0