先日、stableチャンネルのアップデートがありましたが、バグの修正が主な内容になる、logn-termでもアップデートがありました。今回は6.44へのアップグレードになります。
更新内容は以下の通り。
What's new in 6.44.5 (2019-Jul-04 10:32): MAJOR CHANGES IN v6.44.5: ---------------------- !) security - fixed vulnerabilities CVE-2018-1157, CVE-2018-1158; !) security - fixed vulnerabilities CVE-2019-11477, CVE-2019-11478, CVE-2019-11479; !) security - fixed vulnerability CVE-2019-13074; ---------------------- Changes in this release: *) bridge - correctly handle bridge host table; *) capsman - fixed CAP system upgrading process for MMIPS; *) capsman - fixed interface-list usage in access list; *) certificate - removed "set-ca-passphrase" parameter; *) cloud - properly stop "time-zone-autodetect" after disable; *) conntrack - fixed GRE protocol packet connection-state matching (CVE-2014-8160); *) defconf - automatically set "installation" parameter for outdoor devices; *) dhcpv6-client - fixed status update when leaving "bound" state; *) dhcpv6-server - fixed dynamic IPv6 binding without proper reference to the server; *) dhcpv6-server - override prefix pool and/or DNS server settings by values received from RADIUS; *) discovery - fixed CDP packets not including address on slave ports (introduced in v6.44); *) e-mail - properly release e-mail sending session if the server's domain name can not be resolved; *) firewall - fixed fragmented packet processing when only RAW firewall is configured; *) firewall - process packets by firewall when accepted by RAW with disabled connection tracking; *) gps - strip unnecessary trailing characters from "longtitude" and "latitude" values; *) hotspot - moved "title" HTML tag after "meta" tags; *) ipv6 - improved system stability when receiving bogus packets; *) ovpn - added "verify-server-certificate" parameter for OVPN client (CVE-2018-10066); *) rb3011 - improved system stability when receiving bogus packets; *) rb921 - improved system stability ("/system routerboard upgrade" required); *) snmp - improved reliability on SNMP service packet validation; *) ssh - fixed non-interactive multiple command execution; *) supout - added IPv6 ND section to supout file; *) supout - added "pwr-line" section to supout file; *) supout - changed IPv6 pool section to output detailed print; *) winbox - do not allow setting "dns-lookup-interval" to "0"; *) wireless - improved DFS radar detection when using non-ETSI regulated country; *) wireless - improved installation mode selection for wireless outdoor equipment; *) wireless - updated "china" regulatory domain information; *) www - improved client-initiated renegotiation within the SSL and TLS protocols (CVE-2011-1473);
上の3つの重要とされている更新は、先にstableに来ているTCP Sackに関連するセキュリティに関する修正です。これについては、Mikrotikのblogでも取り上げられています。
MikroTik
MikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technolo...
他にも以下の修正については、セキュリティに関する修正になるので注意が必要です。
- www – SSLおよびTLSプロトコル内でのクライアント主導の再ネゴシエーションを改善しました(CVE-2011-1473)
- ovpn – OVPNクライアント用の “verify-server-certificate”パラメータを追加しました(CVE-2018-10066)
- conntrack – GREプロトコルパケットの接続状態のマッチングを修正しました(CVE-2014-8160)
あとは、bridgeインターフェースのホストテーブルが正常に扱われていなかったことの修正やDHCPv6-Serverの配布に関する修正がいくつか、firewallのrawテーブルでのパフォーマンスの修正、無線LAN周りの機能改善などが含まれています。
手元のmipsbeなRouterboardに適用してみましたが、今の所問題は発生していません。
また、先日Twitterでも呟きがありましたが、IPsecの変更や、IEEE802.1xについては、6.45からの修正変更になるため、まだこのチャンネルには入っていません。IEEE802.1xなどの連携を考えている場合は、もう暫く待つ必要がありそうです。
MikroTik
MikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technolo...
v6.44.5 [long-term] is released! - MikroTik