Další opravené zranitelnosti, týká se především přístupu přes interni webserver RouterOS (webfig, grafy apod.).
Seznam chyb je vskutu krátky, ale o to horší protože lze takto na dálku crashnout router pokud máte otevřenou webovou službu do internetu.
- CVE-2018-1156: An authenticated user can trigger a stack buffer overflow.
- CVE-2018-1157: File upload memory exhaustion. An authenticated user can cause the www binary to consume all memory.
- CVE-2018-1158: Recursive JSON parsing stack exhaustion, which could allow an authenticated user to cause crash of the www service.
- CVE-2018-1159: www memory corruption, if connections are initiated and not properly cleaned up then a heap corruption occurs in www.
Tyto chyby byly opraveny ve verzích 6.42.7, 6.40.9 a 6.43.
Doporučení: povolte si webovou službu jen z důvěryhodných rozsahů (IP > Services > “Available from”) nebo ji rovnou vypněte pokud ji nevyužíváte. Při extra paranoi můžete ještě navíc filtrovat přístup do služeb ve firewallu v INPUT chainu.
Zdroj blog.mikrotik.com