RouterOS 6.40.4 [current] が公開になった。あとdnsmasqの件について

一ヶ月ぶりにcurrentブランチがバージョンアップしました。小幅な修正になります。

更新内容は以下の通り。

What's new in 6.40.4 (2017-Oct-02 08:38):

*) address - show warning on IPv6 address when acquire from pool has failed;
*) arp - fixed invalid static ARP entries after reboot on interfaces without IP address;
*) crs1xx/2xx - fixed 1 Gbps forced mode for several SFP modules;
*) crs317 - added L2MTU support;
*) crs3xx - improved packet processing in slowpath;
*) defconf - fixed RouterOS default configuration (introduced in v6.40.3);
*) dhcp - fixed downgrade from RouterOS v6.41 or higher;
*) dhcpv6 client - added IAID check in reply;
*) dhcpv6-client - fixed IA check on solicit when "rapid-commit" is enabled;
*) dhcpv6-client - ignore unknown IA;
*) dhcpv6-client - require pool name to be unique;
*) e-mail - auto complete file name on "file" parameter (introduced in v6.40);
*) export - fixed wireless "ssid" and "supplicant-identity" compact export;
*) hotspot - fixed missing "/ip hotspot server profile" if invalid "dns-name" was specified;
*) hotspot - improved user statistics collection process;
*) ike1 - remove PH1 and PH2 when "mode-config" exchange fails;
*) ipsec - kill PH1 on "mode-config" address failure;
*) ipv6 - fixed IPv6 address request from pool;
*) lte - fixed modem initialization after reboot;
*) ntp-client - properly start NTP client after reboot if manual server IP is not configured;
*) rb931-2nd - fixed startup problems (requires additional reboot after upgrade);
*) routerboard - fixed "/system routerboard upgrade" for CRS212-8G-4S;
*) sfp - fixed OPTON module DDM information readings;
*) sfp - fixed temperature readings for various SFP modules;
*) snmp - fixed "/caps-man registration-table" uptime values;
*) snmp - fixed "/system license" parameters for CHR;
*) tile - improved reliability on MPLS package processing;
*) userman - fixed unresponsive RADIUS server (introduced in v6.40.3);
*) vlan - do not allow VLAN MTU to be higher than L2MTU;
*) webfig - improved reliability of login process;
*) wireless - added "etsi1" regulatory domain information;
*) wireless - improved WPA2 key exchange reliability;
*) wireless - updated "norway" regulatory domain information;

DHCPv6を中心としたアドレス周りの修正が主なようです。

幾つかは現在進行中のrcブランチからのものが含まれています。動作が改善するとされるものも含まれているので(例えば、WPA2のkey exchangeなど)、正常に動作しないことで困っていた方は適用を検討したほうが良いかもしれません。

筆者の環境では、mipsbe系のRouterboardに適用しましたが、Reboot loopになるような問題は発生していません。

フォーラムを確認した限りでは、OSPF周りの動作について修正が入っていないのではという書き込みが見られます。

またSSTPを使用した場合に、RDPでの接続ができないという問題も出ているようです。これはSSTPだけなのか、他のVPN機能にも影響がでているのか確認できていません。少なくとも手元の環境では、L2TP/IPsecで接続した場合は問題なく接続できていますが・・・

また、最近公表されたdnsmasqに関する脆弱性ですが、サポートに確認したところ、dnsmasqは使用していないので影響はないとの回答を頂いております。

Behind the Masq: Yet more DNS, and DHCP, vulnerabilities
Posted by Fermin J. Serna, Staff Software Engineer, Matt Linton, Senior Security Engineer and Kevin Stadmeyer, Technical Program Manager O...

ただ、過去には同じようなdnsmasqの脆弱性について、RouterOSでもSQL Injectionが公表されていたので、本当にないのか再確認中です。

RouterOS affected by Dnsmasq security vulnerabilities? – MikroTik RouterOS /
https://forum.mikrotik.com/viewtopic.php?f=2&t=126336

タイトルとURLをコピーしました