RouterOS 6.44.5 [long-term]が公開になりました。

Blog, Info

Screenshot_2019-07-09-v6-44-5-long-term-is-released-MikroTik

先日、stableチャンネルのアップデートがありましたが、バグの修正が主な内容になる、logn-termでもアップデートがありました。今回は6.44へのアップグレードになります。

更新内容は以下の通り。

What's new in 6.44.5 (2019-Jul-04 10:32):

MAJOR CHANGES IN v6.44.5:
----------------------
!) security - fixed vulnerabilities CVE-2018-1157, CVE-2018-1158;
!) security - fixed vulnerabilities CVE-2019-11477, CVE-2019-11478, CVE-2019-11479;
!) security - fixed vulnerability CVE-2019-13074;
----------------------

Changes in this release:

*) bridge - correctly handle bridge host table;
*) capsman - fixed CAP system upgrading process for MMIPS;
*) capsman - fixed interface-list usage in access list;
*) certificate - removed "set-ca-passphrase" parameter;
*) cloud - properly stop "time-zone-autodetect" after disable;
*) conntrack - fixed GRE protocol packet connection-state matching (CVE-2014-8160);
*) defconf - automatically set "installation" parameter for outdoor devices;
*) dhcpv6-client - fixed status update when leaving "bound" state;
*) dhcpv6-server - fixed dynamic IPv6 binding without proper reference to the server;
*) dhcpv6-server - override prefix pool and/or DNS server settings by values received from RADIUS;
*) discovery - fixed CDP packets not including address on slave ports (introduced in v6.44);
*) e-mail - properly release e-mail sending session if the server's domain name can not be resolved;
*) firewall - fixed fragmented packet processing when only RAW firewall is configured;
*) firewall - process packets by firewall when accepted by RAW with disabled connection tracking;
*) gps - strip unnecessary trailing characters from "longtitude" and "latitude" values;
*) hotspot - moved "title" HTML tag after "meta" tags;
*) ipv6 - improved system stability when receiving bogus packets;
*) ovpn - added "verify-server-certificate" parameter for OVPN client (CVE-2018-10066);
*) rb3011 - improved system stability when receiving bogus packets;
*) rb921 - improved system stability ("/system routerboard upgrade" required);
*) snmp - improved reliability on SNMP service packet validation;
*) ssh - fixed non-interactive multiple command execution;
*) supout - added IPv6 ND section to supout file;
*) supout - added "pwr-line" section to supout file;
*) supout - changed IPv6 pool section to output detailed print;
*) winbox - do not allow setting "dns-lookup-interval" to "0";
*) wireless - improved DFS radar detection when using non-ETSI regulated country;
*) wireless - improved installation mode selection for wireless outdoor equipment;
*) wireless - updated "china" regulatory domain information;
*) www - improved client-initiated renegotiation within the SSL and TLS protocols (CVE-2011-1473);

上の3つの重要とされている更新は、先にstableに来ているTCP Sackに関連するセキュリティに関する修正です。これについては、Mikrotikのblogでも取り上げられています。

他にも以下の修正については、セキュリティに関する修正になるので注意が必要です。

  • www – SSLおよびTLSプロトコル内でのクライアント主導の再ネゴシエーションを改善しました(CVE-2011-1473)
  • ovpn – OVPNクライアント用の “verify-server-certificate”パラメータを追加しました(CVE-2018-10066)
  • conntrack – GREプロトコルパケットの接続状態のマッチングを修正しました(CVE-2014-8160)

あとは、bridgeインターフェースのホストテーブルが正常に扱われていなかったことの修正やDHCPv6-Serverの配布に関する修正がいくつか、firewallのrawテーブルでのパフォーマンスの修正、無線LAN周りの機能改善などが含まれています。

手元のmipsbeなRouterboardに適用してみましたが、今の所問題は発生していません。

また、先日Twitterでも呟きがありましたが、IPsecの変更や、IEEE802.1xについては、6.45からの修正変更になるため、まだこのチャンネルには入っていません。IEEE802.1xなどの連携を考えている場合は、もう暫く待つ必要がありそうです。