dnsmasq 一次性修了六个 CVE
这次最值得关注的修改是 dnsmasq 2.91 的六个 CVE 补丁。dnsmasq 是 OpenWrt 默认的 DNS 转发和 DHCP 服务器,几乎所有 OpenWrt 设备都在用。这六个漏洞涵盖了:
- CVE-2026-2291:域名解析过程中的堆缓冲区溢出。攻击者通过构造特殊 DNS 响应可能触发远程代码执行。
- CVE-2026-4890 / 4891:DNSSEC 方向,通过精心构造的 NSEC bitmap 或 RRSIG 包导致 dnsmasq 崩溃。如果你开启了 DNSSEC 验证,需要重点关注。
- CVE-2026-4892:DHCPv6 方向,当启用了
--dhcp-script选项时,超长的 DHCPv6 CLID 可触发缓冲区溢出。 - CVE-2026-4893:EDNS Client Subnet 验证逻辑损坏。
- CVE-2026-5172:
extract_addresses()在处理恶意 DNS 资源记录时的缓冲区溢出。
一句话总结:只要你的 OpenWrt 设备暴露在公网或者局域网内有不受信设备,这六个漏洞都应该通过升级来堵上。
内核 Dirty Frag:名字唬人,影响面有限
Linux 内核也修了一个 CVE-2026-43284,叫 “Dirty Frag”。这是一个 IPsec ESP 路径上的本地提权漏洞,通过内核从 6.12.85 升级到 6.12.87 修复。
需要注意的是:这个漏洞只在加载了 kmod-ipsec 内核模块的设备上可利用。大多数家庭 OpenWrt 路由器不会开 IPsec。如果你只是在用 WireGuard 或 OpenVPN,这个漏洞跟你关系不大,但升级总没错。
其他更新:WiFi、新设备、mac80211
WiFi 方面,mac80211 backports 从 6.18.7 更新到了 6.18.26,主要是稳定性改进,跨度不小。
设备支持新增:MikroTik RouterBOARD 960PGS(hEX PoE / PowerBox Pro)加入 ath79 目标,Cudy WR3000E/H/P/S 的 ubootmod 变体也正式支持了。
还有一些设备修复:Cudy WR3000 系列的 NAND 构建之前错误启用了 NMBM,这个版本修了;Pakedge WR-1 恢复了 WLAN LED 标签。
升级前需要注意的几个坑
这部分比更新内容本身更重要。每次 OpenWrt 升级都有一些已知问题和特殊流程:
- SQM CAKE MQ 吞吐量异常:这个版本的调度器修复可能导致 cake_mq 在某些配置下吞吐量异常降低(issue #22344)。如果你在用 SQM QoS 的 cake_mq 算法做流控,升级后建议跑测速验证。
- TP-Link RE355/RE450 需 force 升级:这几个型号需要
sysupgrade -F强制刷入,镜像不超过 5.875 MB。 - WPA3 + 802.11r 兼容问题:同时开 WPA3 和 802.11r Fast Transition,已知有些客户端连不上(issue #22200)。Pixel 10 连 WPA3 保护的 WiFi 6 AP 也有问题(issue #21486)。
- Meraki MX60 特殊流程:需要先改
meraki_loadaddr。 - Bananapi BPI-R4 接口更名:eth1→sfp-lan/lan4,eth2→sfp-wan,升级时不能保留配置。
升级建议
最简单的升级方式是用 Attended Sysupgrade:
auc -b 25.12 -r 25.12.4或直接去 Firmware Selector 下载对应型号的镜像。
如果之前从 24.10 升到 25.12 一切正常,25.12.3 到 25.12.4 基本就是平滑升级,保留配置即可。还在 23.05 或更早的需要先过 24.10。
我的判断
这次更新的核心价值在安全修复。dnsmasq 的六个 CVE 覆盖了 DNS 和 DHCP 两个核心服务方向。如果设备暴露在公网,或者局域网里设备比较多、不受控设备的存在可能性较高,建议尽快升级。
Dirty Frag 虽然名字唬人,但对家庭用户影响有限——不开 IPsec 就不受影响。倒是 SQM CAKE MQ 的已知问题更值得实际验证,毕竟国内宽带环境下开 QoS 的人不少。
如果后面实际跑一段时间发现了什么问题,我再更新。至少先把 dnsmasq 的洞堵上是稳的。