Mikrotik na swoim blogu opublikował informacje odnośnie nowych podatności w RouterOS. Podatne są wersje starsze od 6.42.7 (Current), 6.40.9 (Bugfix only) i 6.43 (Release candidate). Aby wykorzystać podatności wymagane jest zalogowanie się na urządzenie.
- CVE-2018-1156 – uwierzytelniony użytkownik mógł spowodować przepełnienie bufora
- CVE-2018-1157 – uwierzytelniony użytkownik mógł spowodować zużycie całej pamięci przez serwer www
- CVE-2018-1158 – uwierzytelniony użytkownik mógł spowodować awarię serwera www poprzez wymuszenie rekursywnego parsowania pliku JSON
- CVE-2018-1159 – zainicjowanie połączenia i jego nieprawidłowe zamknięcie, powoduje wystąpienie uszkodzenie sterty serwera www
CERT PSE zaleca użytkownikom i administratorom zapoznanie się ze szczegółami na stronie producenta i zastosowanie niezbędnych aktualizacji.
Źródło: https://blog.mikrotik.com/security/security-issues-discovered-by-tenable.html