Mikrotik RouterOS – Nové zranitelnosti v webserveru

Další opravené zranitelnosti, týká se především přístupu přes interni webserver RouterOS (webfig, grafy apod.).

Seznam chyb je vskutu krátky, ale o to horší protože lze takto na dálku crashnout router pokud máte otevřenou webovou službu do internetu.

  • CVE-2018-1156: An authenticated user can trigger a stack buffer overflow.
  • CVE-2018-1157: File upload memory exhaustion. An authenticated user can cause the www binary to consume all memory.
  • CVE-2018-1158: Recursive JSON parsing stack exhaustion, which could allow an authenticated user to cause crash of the www service.
  • CVE-2018-1159: www memory corruption, if connections are initiated and not properly cleaned up then a heap corruption occurs in www.

Tyto chyby byly opraveny ve verzích 6.42.7, 6.40.9 a 6.43.

Doporučení: povolte si webovou službu jen z důvěryhodných rozsahů (IP > Services > „Available from“) nebo ji rovnou vypněte pokud ji nevyužíváte. Při extra paranoi můžete ještě navíc filtrovat přístup do služeb ve firewallu v INPUT chainu.

Zdroj blog.mikrotik.com

Štítky , , , , , , , , .Záložka pro permanentní odkaz.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *