Vydaná aktualizácia OS pre routery OpenWrt, opravuje pomerne vážne zraniteľnosti

Značky: OpenWrtWi-Firoutery

DSL.sk, 23.10.2025

Tvorcovia populárneho open source operačného systému pre routery OpenWrt aktuálne relatívne krátko po vydaní predchádzajúcej aktualizácie vydali novú aktualizovanú verziu 24.10.4 hlavnej verzie OpenWrt 24.10.

Predchádzajúca nová verzia bola vydaná pred mesiacom, pričom OpenWrt nové verzie takto často typicky nevydáva. V oznámení dôvod pomerne skorého vydania ďalšej verzie tvorcovia explicitne neuvádzajú, dôvodom bola ale zrejme oprava dvoch pomerne vážnych bezpečnostných zraniteľností.

Jedna zraniteľnosť v ubusd umožňuje ľubovoľným ubus klientom potenciálne dosiahnuť spustenie zvoleného kódu v kontexte procesu ubusd. Druhá umožňuje na platforme lantiq určenej pre zariadenia s podporou DSL v niektorých režimoch lokálnym užívateľom čítať a zapisovať do ľubovoľnej pamäte jadra, čo umožňuje niektorým službám s oprávneniami limitovanými kvôli bezpečnosti zvýšiť ich oprávnenia.

Nie je jasné, aké všetky dopady majú zraniteľnosti v prípade útokov cez sieť. Zrejme ale minimálne umožňujú v kombinácii s prípadnými inými zraniteľnosťami umožňujúcimi útoky cez sieť zhoršiť ich následky zvýšením oprávnení.

OpenWrt 24.10 bol vydaný vo februári. Nová aktualizácia vzhľadom na pomerne skoré vydanie po predchádzajúcej pridala podporu iba dvoch nových zariadení, opravených bolo tiež niekoľko problémov s podporou na viacerých zariadeniach a platformách a viacero dôležitých softvérov bolo aktualizovaných na nové verzie.

V OpenWrt 24.10 bola zlepšená podpora WiFi 6 a pribudla počiatočná podpora WiFi 7, zatiaľ ale nie je podporovaných veľa zariadení s WiFi 7.

V OpenWrt 23.05 sa zmenila štandardná SSL knižnica z wolfssl na mbedtls, kvôli dlhej bezpečnostnej LTS podpore bez zmeny rozhrania ABI. Použitá bola ale verzia mbedtls 2.28 nepodporujúca najnovšiu verziu protokolu TLS 1.3, ktorá výrazne zvýšila bezpečnosť. V OpenWrt 24.10 sa prešlo na novú verziu mbedtls 3.6, ktorá už podporuje aj TLS 1.3.

Na zariadeniach s väčšou flash pamäťou je v súborových systémoch štandardne aktívna podpora POSIX ACL a bezpečnostné atribúty, funkčnosti potrebné napríklad pre Docker. Zároveň je na zariadeniach s veľkou flash pamäťou podporované Multipath TCP.

Podľa oznámenia pri vydaní OpenWrt 24.10 sa tiež zlepšila podpora LLDP, Link Layer Discovery Protocol.

Verzia OpenWrt 24.10 prešla na výrazne novšie jadro. Kým v OpenWrt 23.05 je použité jadro 5.15, nová verzia je postavená na jadre 6.6.

V novej verzii sa opäť výrazne rozšírila podpora zariadení, keď bolo pridaných až päť platforiem pre rozličné SoC, d1, ixp4xx, loongarch64, loongarch64 a stm32. Zároveň bola odstránená podpora najmä niektorých starších platforiem, ath25, bcm63xx, octeontx a oxnas. Platforma ipq807x bola premenovaná na qualcommax.

Vo verzii 24.10 prišlo k veľkej zmene v prípade platformy ipq806x, ktorá ako ďalšia prešla z riešenia swconfig pre správu zabudovaných prepínačov na DSA, Distributed Switch Architecture.

Celkovo bola oproti OpenWrt 23.05 pridaná podpora viac ako 100 nových konkrétnych zariadení vrátane prvého routera navrhnutého vývojármi OpenWrt, OpenWrt One oficiálne uvedeného na konci novembra. Verzia OpenWrt 24.10 podporovala pri vydaní celkovo viac ako 1970 rozličných zariadení.

Na verziu 24.10 je podporovaný upgrade z verzie 23.05 ale nie z predchádzajúcich verzií. U platformy ipq806x nie je pri upgrade podporované zachovanie konfigurácie kvôli prechodu na DSA.

Minimálne pred inštaláciou na zaradenie ešte s pôvodným firmvérom je odporúčané prečítať si inštrukcie k danému zariadeniu. Zároveň na niektorých zariadeniach je pri upgrade na verziu 24.10 potrebné uskutočniť špecifické kroky, poznámky k vydaniu nových verzií 24.10 uvádzajú špecifické kroky pre Linksys E8450, Belkin RT3200, Xiaomi AX3200, Redmi AX6S a modely Zyxel GS1900.

Na niektorých zariadeniach sú známe problémy s novou verziou, napríklad 5 GHz WiFi je nefunkčné na niektorých zariadeniach s ath10k čipsetmi a na prepínačoch s Airoha AN8855 zase nefungujú LED.

Inštalačné obrazy novej verzie OpenWrt 24.10.4 je možné vyhľadať na firmware-selector.openwrt.org respektíve sťahovať z downloads.openwrt.org.

OpenWrt 24.10 je už jedinou podporovanou verziou OpenWrt. Podpora predchádzajúcej verzie 23.05 bola ukončená v auguste vydaním poslednej aktualizácie 23.05.6.


Najnovšie články:



Diskusia:

Pridať komentár