Обновление Mikrotik RouterOS 6.45.1: важные исправления безопасности и повышение стабильности

20 июня компания Mikrotik опубликовала в своем блоге короткую заметку, имеющую отношение к уязвимостям CVE-2019-11477, CVE-2019-11478 и CVE-2019-11479. Как сообщается, Netflix выявил ряд серьезных уязвимостей в ядре Linux, позволяющих приводить к отказу в обслуживании (denial-of-service, DoS). Поскольку RouterOS использует ядро Linux, данная сетевая уязвимость также затрагивает устройства Mikrotik. Правильно настроенный фаерволл может защитить от эксплуатации данных уязвимостей.

Более подробную информацию по данным уязвимостям и защите от них, вы можете найти на Github. 27 июня Mikrotik представил обновление RouterOS 6.45.1, в котором были исправлены все вышеперечисленные уязвимости.
Обращаем ваше внимание! Ряд изменений затронули хранимые пароли, поэтому в случае Downgrade с версии 6.45.1 на версии ниже 6.43/6.12.12, все пользовательские пароли будут сброшены, что позволит осуществить аутентификацию без пароля!

Также перестали работать старые методы аутентификации API, поэтому, в случае их использования, следует внести правки, согласно документации.

Важные изменения в версии RouterOS 6.45.1

• Добавлена поддержка IEEE 802.1X (Port-Based Network Access Control);
• Для IKE2 добавлена поддержка EAP-аутентификации (eap-tls, eap-ttls, eap-peap, eap-mschapv2);
• Исправлены уязвимости CVE-2018-1157, CVE-2018-1158, CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, CVE-2019-13074;
• Изменены методы хранения паролей;

Другие интересные изменения

• Для платформы CCR исправлены проблемы производительности после перегрузки сетевого интерфейса;
• Место хранения CRL по-умолчанию изменено с внутреннего накопителя на RAM (ранее при использовании сертификатов внутренняя память могла быть заполнена);
• Для CRS3xx исправлено отображения статуса автосогласования для интерфейсов SFP/SFP+;
• Улучшена производительность чипа коммутации в моделях CRS326, CRS328, CRS305;
• Для DHCP-сервера добавлено логирование конфликтов IP, статус «busy» заменен на статусы «conflict» и «declined»;
• Для Ethernet-интерфейсов добавлена поддержка скоростей 25 и 40 Гбит;
• Большое число изменений и исправлений IPsec и LTE;
• Добавлена поддержка модема Vodafone R216-Z;
• Оптимизирована работа карты R11e-4G;
• Снижен минимальный объем памяти, потребляемый Proxy-сервером;
• Для RB3011 улучшена производительность при обработке поддельных пакетов;
• Для RB4011 исправлено дублирование MAC-адресов на интерфейсах sfp-sfpplus1 и wlan1;
• Улучшена производительность каналов 160 МГц на маршрутизаторе RB4011;
• Повышена стабильность платформы RB921;
• Добавлена поддержка USSD для SMS-tool, пока только через CLI;
• Для устройств 60ГГц добавлено автопереключение на AP с более высоким уровнем сигнала (при идентичных SSID);
• Для устройств Dual-Boot в меню Winbox добавлен раздел System–SwOS;
• Улучшено инициированное клиентом пересогласование SSL и TLS (CVE-2011-1473);

С полным списком изменений можно ознакомиться на официальном сайте.

Онлайн курс по сетевым технологиям

Рекомендую курс Дмитрия Скоромнова «Основы сетевых технологий». Курс не привязан к оборудованию какого-то производителя. В нем даются фундаментальные знания, которые должны быть у каждого системного администратора. К сожалению, у многих администраторов, даже со стажем 5 лет, зачастую нет и половины этих знаний. В курсе простым языком описываются много разных тем. Например: модель OSI, инкапсуляция, домены коллизий и широковещательные домены, петля коммутации, QoS, VPN, NAT, DNS, Wi-Fi и многие другие темы.

Отдельно отмечу тему по IP-адресации. В ней простым языком описывается как делать переводы из десятичной системы счисления в двоичную и наоборот, расчет по IP-адресу и маске: адреса сети, широковещательного адреса, количества хостов сети, разбиение на подсети и другие темы, имеющие отношение к IP-адресации.

У курса есть две версии: платная и бесплатная.