Verze Mikrotik

Z KHnetWiki

(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
Řádka 11: Řádka 11:
----
----
-
Shrnutí:
+
'''Shrnutí:'''
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
Řádka 30: Řádka 30:
Opraveno v 6.40.8 a 6.42.1
Opraveno v 6.40.8 a 6.42.1
-
'''Závěr:''' používání verzí starších než 6.40.8 či 6.42.3 (k 10.6.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda access-pointy do 6.28.x s vypnutým https/https ...
+
'''Závěr:''' používání verzí starších než 6.40.8 či 6.42.3 (k 10.6.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.28.x s vypnutým https/https ...
----
----

Verze z 10. 6. 2018, 21:01

Všechny verze RouterOS (ROS) starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox).

Stejně tak verze starší než 6.42.1.

Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.8. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.1.

[1]

Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy upgrade je vlastně jediná správná volba.


Shrnutí:

Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.

CIA Vault 7 Problém se týká http serveru, který je používaný funkční WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services.

Opraveno v 6.38.5 a 6.39rc49

WPA2 vulnerabilities Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat.

Opraveno v 6.39.3, 6.40.4 a 6.41

Napadení Winbox Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla.

Vznik problému v 6.29
Opraveno v 6.40.8 a 6.42.1

Závěr: používání verzí starších než 6.40.8 či 6.42.3 (k 10.6.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.28.x s vypnutým https/https ...


Winbox

Také platí nutnost používat nejnovější Winbox.exe. Od verze 3.12 totiž nestahuje žádné DLL knihovny z ROS, čili neohrozí správcův počítač.

Verze 3.13 dokonce natvrdo odmítá připojení k ROS starší než 6.x

A verze 3.14 je nutná pro ROS 6.43 a novější, kde se na základě zjištění posledních chyb mění způsob přihlašování (interně; a to včetně API).

Osobní nástroje