<div dir="auto">Estimado Ariel, como te vas?<div dir="auto"><br></div><div dir="auto">En realidad es muy complejo este tema. Incluso veo algunos que no hicieron su despliegue utilizando sucesos así como escusa, diciendo hasta mismo que se trata de un protocolo inseguro. Estoy de acuerdo con todo que usted he dicho y añado: no es culpa del IPv6 todos eses sucesos. Solo nosotros tenemos la culpa por demasiado tarde empezar el despliegue. Quizás tuviéramos comenzado a la fecha correcta, dichos problemas ya estarían resueltos y estaríamos hoy con menos problemas en el protocolo que ya es el estándar de internet. Entonces, más allá de no bajar su IPv6 (el amigo Rubens envió una nueva versión, todavía beta más que debemos aguardar el investigador probar) debemos adelantar el despliegue para que adelantemos posibles problemas y soluciones.</div><div dir="auto"><br></div><div dir="auto">Saludos cordiales,</div><div dir="auto"><br></div><div dir="auto">Uesley Corrêa</div><div dir="auto"><br></div><div dir="auto">PS.: cuando digo nosotros, me incluyo aunque haga siempre el máximo para el despliegue del protocolo.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 1, 2019, 04:17 Rubens Kuhl <<a href="mailto:rubensk@gmail.com" target="_blank" rel="noreferrer">rubensk@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div><div>Mikrotik has now disclosed itself what the bugs are:</div><div><a href="https://forum.mikrotik.com/viewtopic.php?p=724264#p724238" rel="noreferrer noreferrer" target="_blank">https://forum.mikrotik.com/viewtopic.php?p=724264#p724238</a></div><div><br></div><div>"<span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">There were two IPv6 related issues resolved in this version:</span></div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">1) IPv6 packet forwarding might get stuck (due to IPv6 route cache processing) that could lead to Watchdog reboot;</span><br style="box-sizing:border-box;color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">2) IPv6 neighbor table processing might get stuck (due to large neighbor table) that could lead to Watchdog reboot.</span><br style="box-sizing:border-box;color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br style="box-sizing:border-box;color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">Seems that one of these was considered as CVE and another one was not. Since author of these CVEs still has a problem, seems that actually #1 was not included in this CVE. However, this "problem" actually is not much of an issue. RouterOS IPv6 route cache max size by default is 1 million. If you try to reach 1 million hosts in your network, route cache grows and can take up to 500 MB. If you have device that does not have such resources, it will reboot itself. If router has, for example, 1 GB of RAM - there is no problem. We will most likely allow to change cache size or will decide its size based on RAM size. However, it can not be considered as a bug or vulnerability. You make router work and then complain that resources are required to do the job. This is not a bug."</span></div></div><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br></span></div><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">And launched a new beta version to address them:</span></div><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br></span></div><div><a href="https://mikrotik.com/download/changelogs/testing-release-tree" rel="noreferrer noreferrer" target="_blank">https://mikrotik.com/download/changelogs/testing-release-tree</a><br><br>What's new in 6.45beta23 (2019-Apr-01 05:51):<br style="box-sizing:border-box;color:rgb(117,117,117);font-family:arial,sans-serif;font-size:14px;background-color:rgb(243,245,247)"><br>MAJOR CHANGES IN v6.45:<br>----------------------<br style="box-sizing:border-box;color:rgb(117,117,117);font-family:arial,sans-serif;font-size:14px;background-color:rgb(243,245,247)">!) ipv6 - fixed soft lockup when forwarding IPv6 packets;<br>!) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table;<br>---------------------- <br><br>Changes in this release:<br><br>*) ipsec - properly drop already established tunnel when address change detected;<br>*) ipv6 - adjust IPv6 route cache max size based on total RAM memory;<br>*) smb - fixed possible buffer overflow;<span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br></span></div><div><br></div><div class="m_-1797863533436181843m_4734462449285416543m_-8876649116321239706gmail-yj6qo m_-1797863533436181843m_4734462449285416543m_-8876649116321239706gmail-ajU" style="outline:none;padding:10px 0px;width:22px;margin:2px 0px 0px"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 1, 2019 at 4:49 AM Ariel Weher <<a href="mailto:ariel@weher.net" rel="noreferrer noreferrer" target="_blank">ariel@weher.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Estimados amigos:<br>
<br>
Se encuentra circulando en internet información relacionada a una<br>
vulnerabilidad relacionada con los sistemas Mikrotik que tienen<br>
configurado IPv6.<br>
<br>
Aparentemente el investigador Marek Isalski asegura que puede consumir<br>
el total de la memoria de cualquier equipo Mikrotik (y forzar su<br>
reinicio) con solo enviar paquetes mal formados a cualquier interface<br>
que cuente con direccionamiento IPv6.<br>
<br>
Aparentemente el investigador hizo una demo del ataque:<br>
<a href="https://youtu.be/TzC-JVjMK8k" rel="noreferrer noreferrer noreferrer" target="_blank">https://youtu.be/TzC-JVjMK8k</a><br>
<br>
Varios sitios que tratan el problema piden que se deshabite el<br>
protocolo IPv6 para solucionar esta falla de seguridad.<br>
<br>
Los detalles de la vulnerabilidad aún no son públicos. El investigador<br>
asegura que los va a volver públicos en el evento UKNOF43 el día 9 de<br>
Abril de 2019.<br>
<br>
Mientras tanto:<br>
<br>
* POR FAVOR NO APAGAR EL PROTOCOLO IPv6 *<br>
<br>
Esto podría ser corregido por el equipo que desarrolla RouterOS antes<br>
de la fecha mencionada, o bien podría ser remediado con alguna otra<br>
medida al momento de conocerse los detalles de la vulnerabilidad.<br>
<br>
Es muy importante estar informado acerca de los nuevos releases de<br>
software y de los detalles de este caso antes de tomar cualquier<br>
medida extrema.<br>
<br>
Saludos!<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" rel="noreferrer noreferrer" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>