Importantes actualizaciones de RouterOS en todas las ramas, con arreglos en IPv6
Desde hace un par de días se viene dando un intercambio entre los usuarios de MikroTik con la empresa, el problema: Cómo manejaron una vulnerabilidad reportada desde hace mas de 50 semanas.
La historia ya la contamos en otra noticia, en donde mencionamos los detalles y algunos por menores de la situación en ciertos momentos.
Hoy día MikroTik ha anunciado oficialmente el arreglo de los CVE-2018-19298 y CVE-2018-19299, tanto en la rama «stable» como en la «long-term«. El changelog de dichas publicaciones son iguales:
What's new in 6.44.2 (2019-Apr-01 12:47) / 6.43.14 (2019-Apr-02 09:12):: MAJOR CHANGES IN v6.44.2 / v6.43.14:: ---------------------- !) ipv6 - fixed soft lockup when forwarding IPv6 packets; !) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table; ---------------------- Changes in this release: *) ipv6 - adjust IPv6 route cache max size based on total RAM memory;
El descubridor de la vulnerabilidad también ha publicado en su cuenta de Twitter que el problema al parecer está solucionado, con una salvedad, que los dispositivos que tienen menos de 64MB de RAM continúan reiniciándose.
Can confirm: this also fixes CVE-2018-19299. We'll be applying this ASAP to the other half of our boxes, and urging customers running anything older that they should upgrade to 6.34.14 as a matter of urgency. https://t.co/9V0asFM22H
— Marek Isalski (@maznu) 4 de abril de 2019
Can confirm: this fixes CVE-2018-19299. I'll be applying this to half of our boxes ASAP, and strongly urging customers and colleagues to upgrade any 6.44 equipment to 6.44.2. https://t.co/L5SiVolKXm
— Marek Isalski (@maznu) 4 de abril de 2019
MikroTik ha escrito un artículo en su blog, informando de la publicación y brindando un panorama de la situación y qué solución le brindaron.
Según indica el reporte «RouterOS contenía varios inconvenientes relacionados con IPv6, que ahora han sido solucionado«.
Uno de los inconveniente es el reinicio del dispositivo si hay mucho tráfico destinado a diferentes direcciones (IPv6). El reinicio se debe al watchdog timer que lo reinicia porque deja de responder.
Otro problema es cuando la memoria se llena por culpa del tamaño del «IPv6 route cache» que podía ser mas grande que la cantidad de memoria RAM disponible. Se solucionó introduciendo un tamaño automático del cache basado en la cantidad de memoria RAM disponible.
Quienes son los afectados ?
Solamente son vulnerables quienes tengan IPv6 activo en sus redes. Por defecto la funcionalidad de IPv6 no viene activa. Sólo quienes hayan habilitado manualmente el paquete y se haya configurado, podrán ser afectados si las IPv6 son alcanzables por redes no confiables.
Para solucionar este problema hay que actualizar a cualquier versión de RouterOS publicada después del 1 de Abril.
En los agradecimientos, el articulo menciona a Marek, quien fue el descubridor de la vulnerabilidad. Por cierto, Marek brindará el 9 de Abril una conferencia en el UKNOF43 sobre la vulnerabilidad y le ha por correo electrónico a MikroTik la presentación que brindará en el evento, para que la empresa tenga el «derecho a replica».
Ticket#2019040222005195: "right of reply" pic.twitter.com/LBT93qzyoT
— Marek Isalski (@maznu) 2 de abril de 2019
Puede ser descargado desde el sitio de MikroTik en la sección descargas o desde el Winbox en System > Packges.
