<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EstiloCorreo18
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ES-PY link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Gracias por el Retorno Ivan,<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Si, tienes razón al decir que no pasa todo el historial y queda como fragmentado el hilo de todo lo que salta el long-term (bugfix) en cada línea.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Gracias por los comentarios.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Éxitos ¡<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Atentamente,<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b><span style='font-size:12.0pt'>Marcelo Araújo<o:p></o:p></span></b></p><p class=MsoNormal><a href="maraujo@winex.com.py"><span style='color:#0563C1'>maraujo@winex.com.py</span></a><o:p></o:p></p><p class=MsoNormal><i>Capacitación y Consultoría<o:p></o:p></i></p><p class=MsoNormal><b><u>Phone:</u></b> +595 971 369699 (WhatsApp)<o:p></o:p></p><p class=MsoNormal><b><u>Web</u></b>: <a href="www.winex.com.py"><span style='color:#0563C1'>www.winex.com.py</span></a><o:p></o:p></p><p class=MsoNormal><img border=0 width=299 height=87 style='width:3.1145in;height:.9062in' id="Imagen_x0020_6" src="cid:image001.png@01D460C0.06A12B40" alt=firmafinal1><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><b><span lang=ES>De:</span></b><span lang=ES> LACNOG <lacnog-bounces@lacnic.net> <b>En nombre de </b>Ivan Chapero<br><b>Enviado el:</b> miércoles, 10 de octubre de 2018 17:00<br><b>Para:</b> Latin America and Caribbean Region Network Operators Group <lacnog@lacnic.net><br><b>Asunto:</b> Re: [lacnog] New Exploit for MikroTik Router WinBox Vulnerability Gives Full Root Access<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>Marcelo, muy buena explicacion. Sostengo firme que en equipos en produccion lo mejor es mantenerse siempre en la long-term (ex bugfix only), es donde menos sorpresas se tiene upgrade tras upgrade.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>Ahora hago una observación a sus comentarios, que es un error de documentación que en su momento reporte a MK y por lo visto sigue igual:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>1- Como bien menciona:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>- las nuevas features se experimentan temprano en la rama Testing<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>- se incorporan luego algo mas debugueadas la rama Stable<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>- mientra no se cambie de version primaria la rama Long-term solo realice parches/bugfix. <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>2- Generalmente en este contexto hay tres versiones en paralelo, ejemplo: 6.4(N).XX = long-term, 6.4(N+1).XX = Stable, 6.4(N+2).XX = Testing.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>3- El problema que yo veo en el manejo de Changelogs es cuando hacen un salto de version de una rama a la otra, Como sucedió recientemente que la version de la rama Stable 6.42.xx paso a ser Long-term 6.42.9 (saltando la Stable a 6.43.xx y así transitivamente).<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>4- El usuario de la rama Long-term no tiene un changelog unificado de dicha rama de desarrollo en ese caso. Hay un salto de 6.40.9 a 6.42.9, y no se tiene tracking de que fue sucediendo en las versiones intermedias que no formaron parte de la rama Long-term (6.41.xx y <6.42.9), pero que ahora se incorporan todas sus features nuevas acumuladas en la 6.42.xx.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>Esa info puede estar bastante fragmentada e inconsistente si se repasa los changelog de las otras ramas y vamos haciendo un hilo mental de versiones.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Tahoma",sans-serif;color:black'>Saludos!<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>El mié., 10 oct. 2018 a las 15:20, Marcelo Araujo (<<a href="mailto:maraujo@winex.com.py">maraujo@winex.com.py</a>>) escribió:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm'><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Buenas Andrés y Colegas del Foro,<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Ingreso a colaborar con el hilo,<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='background:yellow'>¿si no tenemos en uso la opción de master-port en ninguna interfaz no habría problema no?</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>No, no tendrías problemas. De igual manera, te recomiendo que antes de realizar el upgrade, prepares un Backup, un Export y tener descargada la versión 6.40.8, y en caso de que tengas que volver atrás, lo harías con la herramienta “Netinstall”. Ten presente que el salto de la versión 6.40.x al 6.4x.x posee cambios importantes, que una vez actualizados, esta configuración no servirá para levantar la versión anterior.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Tienes 2 opciones de Upgrade, La línea “Stable (ex Current)” y la Línea “Long-Term (ex Bugfix Only)”<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Generalmente cada vez que se ingresan nuevas características/modificaciones en el SO, estas van en la línea Stable, manteniendo la línea Long-Term sin estas nuevas características/modificaciones. Si ocurren correcciones de bugs las nuevas características/modificaciones solo afectará al Stable y no al Long-Term. De esta manera, el Long-Term, queda menos expuesto a posible bugs de nuevas características/modificaciones por un periodo. Si detectan un bug que afecta a las 2 líneas, ambas serán actualizadas.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>En resumen, los bug aparecidos este año, atacan el puerto que utiliza el Programa de configuración del RouterOS<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Llamado Winbox (8291/TCP).<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Lo más recomendable, como en cualquier equipo que se encuentra expuesto en internet, es que este puerto/servicio no esté habilitado de forma externa, y se realicen estas configuraciones a través de una VPN previa o alternativas particulares de filtrado de acceso como el uso de un <i>port knocking</i>.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>En este enlace encontrarás el ChangeLog de todas las líneas:<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><a href="https://mikrotik.com/download/changelogs/long-term-release-tree" target="_blank">https://mikrotik.com/download/changelogs/long-term-release-tree</a><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>En mi caso particular, me suelo mantener en la línea Long-Term (ex Bugfix Only) para los equipos en producción.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Atentamente,<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='font-size:12.0pt'>Marcelo Araújo</span></b><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><a href="http://maraujo@winex.com.py" target="_blank">maraujo@winex.com.py</a><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><i>Capacitación y Consultoría</i><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><u>Phone:</u></b> +595 971 369699 (WhatsApp)<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><u>Web</u></b>: <a href="http://www.winex.com.py" target="_blank">www.winex.com.py</a><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><img border=0 width=299 height=87 style='width:3.1145in;height:.9062in' id="m_95216582095463007Imagen_x0020_6" src="cid:image001.png@01D460AC.99D93F60" alt=firmafinal1><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span lang=ES>De:</span></b><span lang=ES> LACNOG <<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>> <b>En nombre de </b>Andres Villarroel<br><b>Enviado el:</b> miércoles, 10 de octubre de 2018 14:25<br><b>Para:</b> <a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a><br><b>Asunto:</b> Re: [lacnog] New Exploit for MikroTik Router WinBox Vulnerability Gives Full Root Access</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Ivan, ¿si no tenemos en uso la opción de master-port en ninguna interfaz no habría problema no?<o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>¿Algún otro inconveniente que haya surgido actualizando a esta nueva versión? Estoy corriendo la 6.40.8<br clear=all><o:p></o:p></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>-- <o:p></o:p></p><div><div><div><div><div><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Saludos<o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Andrés Villarroel<o:p></o:p></p></div></div></div></div></div></div></div></div></div></div></div><p class=MsoNormal>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><br clear=all><br>-- <o:p></o:p></p><div><div><p class=MsoNormal><b>Ivan Chapero<br><span style='color:#666666'>Área Técnica y Soporte</span></b><span style='color:#666666'> <br>Fijo: 03464-470280 (interno 535)</span> | <span style='color:#666666'>Móvil:  03464-155-20282</span>  | <span style='color:#666666'>Skype ID: ivanchapero</span><o:p></o:p></p><div><p class=MsoNormal><span style='color:#666666'>--</span><o:p></o:p></p><p class=MsoNormal align=center style='text-align:center'><span style='color:#666666'>GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina</span><o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'><br><br><br><br><br><br><o:p></o:p></p></div></div></div></div></body></html>