[stable][long-term] RouterOS 6.44.2 & 6.43.14 がリリースされました。

ここ最近はMUMの開催スケジュールの関係でリリースされていませんでしたが、4日に色々とまとめてリリースされました。

今回は脆弱性対応なので、以下の条件に該当する方は速めの適用を検討してください。

更新内容

6.44.2 (stable)

MAJOR CHANGES IN v6.44.2:
----------------------
!) ipv6 - fixed soft lockup when forwarding IPv6 packets;
!) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table;
----------------------

Changes in this release:

*) ipv6 - adjust IPv6 route cache max size based on total RAM memory;

6.43.14 (long-term)

MAJOR CHANGES IN v6.43.14:
----------------------
!) ipv6 - fixed soft lockup when forwarding IPv6 packets;
!) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table;
----------------------

Changes in this release:

*) ipv6 - adjust IPv6 route cache max size based on total RAM memory;

解説は

解説についてはMikrotik公式ブログを参照してください。

CVE-2018-19298 CVE-2018-19299 IPv6 resource exhaustion

Summary RouterOS contained several IPv6 related resource exhaustion issues, that have now been fixed, taking care of the above-mentioned CVE entries. ...

blog.mikrotik.com

脆弱性としてはCVE-2018-19298, CVE-2018-19299が割り振られています。

どのような影響があるのか

The first issue caused the device to reboot if traffic to a lot of different destination addresses was routed. The reboot was caused by watchdog timer since the device was overloaded and stopped responding. After that reboot was fixed, another issue caused the memory to be filled, because IPv6 route cache size could be bigger than the available RAM. This also was fixed, by introducing automatic cache size calculation based on available memory. Both fixes are released already in RouterOS versions that were published April, 2019 (all release chains: RouterOS v6.44.2, RouterOS v6.45beta23 and RouterOS v6.43.14).

最初の問題は、多数の異なる宛先アドレスへのトラフィックがルーティングされた際、デバイスが再起動しました。デバイスは過負荷になり応答が停止したため、ウォッチドッグタイマーによって再起動が発生しました。
その再起動の問題が修正された後、IPv6ルートキャッシュサイズが利用可能なRAM容量よりも大きくなる可能性があり、これが原因でメモリがいっぱいになりました。利用可能なメモリに基づいて、キャッシュサイズが自動的に計算をするようにすることで、これも修正されました。

誰が影響を受けるのか

Who is affected

By default, the IPv6 functionality in RouterOS is disabled, these systems are not affected. Only people who have manually enabled and configured IPv6 can be affected if their IPv6 address is reachable from untrusted networks.

デフォルトでは、RouterOSのIPv6機能は無効になっており、これらのシステムは影響を受けません。 IPv6アドレスが信頼できないネットワークから到達可能である場合、手動でIPv6を有効にして設定した人だけが影響を受ける可能性があります。

まとめ

上にも書いてある通り、今回のアップデートはIPv6を使用している方のみ影響があります。最近はIPoEやDS-liteを使用するユーザーも増えているので、影響を受けるユーザーは多そうな気がします。

一方で、testingブランチについてはdhcpv4/v6およびIPsec周りの機能改善や動作修正が主な内容でアップデートが進んでいます。

また無線については国別の対応や60GHzを中心に機能改善が進んでいるようです。

MikroTik

MikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technolo...

mikrotik.com

追記（2019年4月7日）：

少し確認してみたところ、今回の脆弱性については条件があるようです。

DoS flaw in several MikroTik Routers exploited in attacks

A vulnerability could be exploited by attackers to trigger a denial-of-service (DoS) condition on devices running RouterOS.

securityaffairs.com

DoSの問題に対する修正は64MBを超えるRAMを搭載したデバイスにのみ有効であることを発見しました。ルーターに十分なメモリがある限り、クラッシュすることはありません。

UPDATE: this is *NOT* a fix on devices with 64Mb RAM (not tested on less, but suspect it is the same). https://t.co/EmNEObf8ZX

— Marek Isalski (@maznu) 2019年4月4日

どうやら完全な修正については、まずは次のbetaからになりそう、だそうです。

Year-Old DoS Vulnerability Allows Attacks on Some MikroTik Routers

MikroTik on Thursday published details about an issue that is easy to exploit remotely to cause a denial-of-service (DoS) condition on devices running...

www.bleepingcomputer.com