RouterOS 6.42.1 [current]、6.40.8 [bugfix]が公開になりました

Blog

下記で先に報告した通り、RouterOSのWinboxポートへの接続に関する脆弱性が公開されています。それに関連して修正版となるバージョンが公開になっています。

[注意][脆弱性] RouterOSのWinbox portに関連する脆弱性について

Vault 7が公開されてから、RouterOSに関するセキュリティ情報の多くが流れるようになりましたが、今回はRouterOSのWinboxを接続する際のポートに関しての脆弱性です。

まずはcurrentから。

What''s new in 6.42.1 (2018-Apr-23 10:46):
!) winbox - fixed vulnerability that allowed to gain access to an unsecured router;
*) bridge - fixed hardware offloading for MMIPS and PPC devices;
*) bridge - fixed LLDP packet receiving;
*) crs3xx - fixed failing connections through bonding in bridge;
*) ike2 - use "policy-template-group" parameter when picking proposal as initiator;
*) led - added "dark-mode" functionality for hAP ac and hAP ac^2 devices;
*) led - improved w60g alignment trigger;
*) lte - allow to send "at-chat" command over disabled LTE interface;
*) routerboard - fixed "mode-button" support on hAP lite r2 devices;
*) w60g - allow to manually set "tx-sector" value;
*) w60g - fixed incorrect RSSI readings;
*) w60g - show phy rate on "/interface w60g monitor" (CLI only);
*) winbox - fixed bridge port MAC learning parameter values;
*) winbox - show "Switch" menu on cAP ac devices;
*) winbox - show correct "Switch" menus on CRS328-24P-4S+;
*) wireless - improved compatibility with BCM chipset devices;
To upgrade, click "Check for updates" at /system package in your RouterOS configuration interface, or head to our download page: http://www.mikrotik.com/download
If you experience version related issues, then please send supout file from your router to [email protected] File must be generated while router is not working as suspected or after some problem has appeared on device

最初に、先に報告したRouterOSのWinboxのポートに関する脆弱性の修正ですね。お早目の対応をお願いします。

あとは、hAP acとhAP ac^2ですが、LEDの"dark-mode"とやらが追加されています。これはそのままで、LEDの消灯モードですね。先に、RB2011とかRB3011では対応の依頼を出していたのですが、こちらから対応された模様。

> /system leds settings set all-leds-off=immediate 

あとは、"improved compatibility with BCM chipset devices"ですかね。以前からXiaomiなどのAndroidデバイスでは受信する電波強度が弱いとか、hAP ac^2ではスループットが出ないなどの報告がありました。このあたりは6.42rcから対応が続いているのですが、今回も取り込んできたようです。ただ、フォーラムを確認した限りでは、hAP ac^2のスループットはあまり改善していないみたいです。

What''s new in 6.40.8 (2018-Apr-23 11:34):
!) winbox - fixed vulnerability that allowed to gain access to an unsecured router;
*) certificate - fixed incorrect SCEP URL after an upgrade;
*) health - fixed empty measurements on CRS328-24P-4S+RM;
*) ike2 - use "policy-template-group" parameter when picking proposal as initiator;
*) ipv6 - fixed IPv6 behaviour when bridge port leaves bridge;
*) routerboard - fixed "mode-button" support on hAP lite r2 devices;
*) ssh - fixed SSH service becoming unavailable;
*) traffic-flow - fixed IPv6 destination address value when IPFIX protocol is used;
*) winbox - show "Switch" menu on cAP ac devices;
*) wireless - improved compatibility with BCM chipset devices;
To upgrade, click "Check for updates" at /system package in your RouterOS configuration interface, or head to our download page: http://www.mikrotik.com/download

bugfixも、ほぼほぼ例の脆弱性の対応と、パフォーマンスの改善が盛り込まれていますね。あと、もしかしたら、RouterOS 6.42ではIPsec周りの動作が改善したという報告もあるので、今まで接続に問題が出ているようであれば、治っている可能性があります。

今のところ筆者の環境では問題は発生していませんが、適用前にはバックアップなどを取得するなど、前持った作業を行ってください。

MikroTik