下記で先に報告した通り、RouterOSのWinboxポートへの接続に関する脆弱性が公開されています。それに関連して修正版となるバージョンが公開になっています。
[注意][脆弱性] RouterOSのWinbox portに関連する脆弱性について
Vault 7が公開されてから、RouterOSに関するセキュリティ情報の多くが流れるようになりましたが、今回はRouterOSのWinboxを接続する際のポートに関しての脆弱性です。
まずはcurrentから。
What''s new in 6.42.1 (2018-Apr-23 10:46): !) winbox - fixed vulnerability that allowed to gain access to an unsecured router; *) bridge - fixed hardware offloading for MMIPS and PPC devices; *) bridge - fixed LLDP packet receiving; *) crs3xx - fixed failing connections through bonding in bridge; *) ike2 - use "policy-template-group" parameter when picking proposal as initiator; *) led - added "dark-mode" functionality for hAP ac and hAP ac^2 devices; *) led - improved w60g alignment trigger; *) lte - allow to send "at-chat" command over disabled LTE interface; *) routerboard - fixed "mode-button" support on hAP lite r2 devices; *) w60g - allow to manually set "tx-sector" value; *) w60g - fixed incorrect RSSI readings; *) w60g - show phy rate on "/interface w60g monitor" (CLI only); *) winbox - fixed bridge port MAC learning parameter values; *) winbox - show "Switch" menu on cAP ac devices; *) winbox - show correct "Switch" menus on CRS328-24P-4S+; *) wireless - improved compatibility with BCM chipset devices; To upgrade, click "Check for updates" at /system package in your RouterOS configuration interface, or head to our download page: http://www.mikrotik.com/download If you experience version related issues, then please send supout file from your router to [email protected]. File must be generated while router is not working as suspected or after some problem has appeared on device
最初に、先に報告したRouterOSのWinboxのポートに関する脆弱性の修正ですね。お早目の対応をお願いします。
あとは、hAP acとhAP ac^2ですが、LEDの”dark-mode”とやらが追加されています。これはそのままで、LEDの消灯モードですね。先に、RB2011とかRB3011では対応の依頼を出していたのですが、こちらから対応された模様。
> /system leds settings set all-leds-off=immediate
あとは、”improved compatibility with BCM chipset devices”ですかね。以前からXiaomiなどのAndroidデバイスでは受信する電波強度が弱いとか、hAP ac^2ではスループットが出ないなどの報告がありました。このあたりは6.42rcから対応が続いているのですが、今回も取り込んできたようです。ただ、フォーラムを確認した限りでは、hAP ac^2のスループットはあまり改善していないみたいです。
What''s new in 6.40.8 (2018-Apr-23 11:34): !) winbox - fixed vulnerability that allowed to gain access to an unsecured router; *) certificate - fixed incorrect SCEP URL after an upgrade; *) health - fixed empty measurements on CRS328-24P-4S+RM; *) ike2 - use "policy-template-group" parameter when picking proposal as initiator; *) ipv6 - fixed IPv6 behaviour when bridge port leaves bridge; *) routerboard - fixed "mode-button" support on hAP lite r2 devices; *) ssh - fixed SSH service becoming unavailable; *) traffic-flow - fixed IPv6 destination address value when IPFIX protocol is used; *) winbox - show "Switch" menu on cAP ac devices; *) wireless - improved compatibility with BCM chipset devices; To upgrade, click "Check for updates" at /system package in your RouterOS configuration interface, or head to our download page: http://www.mikrotik.com/download
bugfixも、ほぼほぼ例の脆弱性の対応と、パフォーマンスの改善が盛り込まれていますね。あと、もしかしたら、RouterOS 6.42ではIPsec周りの動作が改善したという報告もあるので、今まで接続に問題が出ているようであれば、治っている可能性があります。
今のところ筆者の環境では問題は発生していませんが、適用前にはバックアップなどを取得するなど、前持った作業を行ってください。
