Verze Mikrotik
Z KHnetWiki
m |
|||
| Řádka 8: | Řádka 8: | ||
Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy '''upgrade je vlastně jediná správná volba'''. | Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy '''upgrade je vlastně jediná správná volba'''. | ||
| + | |||
| + | ---- | ||
| + | |||
| + | Shrnutí: | ||
| + | |||
| + | Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná. | ||
| + | |||
| + | [https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 CIA Vault 7] | ||
| + | Problém se týká http serveru, který je používaný funkční WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services. | ||
| + | |||
| + | Opraveno v 6.38.5 a 6.39rc49 | ||
| + | |||
| + | [https://forum.mikrotik.com/viewtopic.php?f=21&t=126695 WPA2 vulnerabilities] | ||
| + | Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat. | ||
| + | |||
| + | Opraveno v 6.39.3, 6.40.4 a 6.41 | ||
| + | |||
| + | [https://forum.mikrotik.com/viewtopic.php?f=21&t=133533 Napadení Winbox] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla. | ||
| + | |||
| + | Vznik problému v 6.29<br> | ||
| + | Opraveno v 6.40.8 a 6.42.1 | ||
| + | |||
| + | '''Závěr:''' používání verzí starších než 6.40.8 či 6.42.3 (k 10.6.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda access-pointy do 6.28.x s vypnutým https/https ... | ||
Verze z 10. 6. 2018, 20:54
Všechny verze starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox).
Stejně tak verze starší než 6.42.1.
Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.8. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.1.
Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy upgrade je vlastně jediná správná volba.
Shrnutí:
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
CIA Vault 7 Problém se týká http serveru, který je používaný funkční WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services.
Opraveno v 6.38.5 a 6.39rc49
WPA2 vulnerabilities Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat.
Opraveno v 6.39.3, 6.40.4 a 6.41
Napadení Winbox Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla.
Vznik problému v 6.29
Opraveno v 6.40.8 a 6.42.1
Závěr: používání verzí starších než 6.40.8 či 6.42.3 (k 10.6.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda access-pointy do 6.28.x s vypnutým https/https ...
