[ #mikrotik ][security][ntpd] RouterOS 6.23rc8未満では VU#852879 の脆弱性の影響があります。

v6.24 RC

We are currently fixing last issues with 6.24, for those that had confirmed bug reports, please check if the issue is re...

forum.mikrotik.com

CERT/CC Vulnerability Note VU#852879

NTP Project Network Time Protocol daemon (ntpd) contains multiple vulnerabilities (Updated)

www.kb.cert.org

先日ntpdの脆弱性、ntpd 4.2.7 以前に、複数の関数において buffer overflow する欠陥 に関する報告がされていますが、これについてMikrotik のRouterOSも影響を受けるようです。

どうやらRouterOS 6.23以下（dev buildも含めてだとROS 6.24rc8まで）が対象のようです。

近いうちにfix releaseが行われるようですが、とりあえずdev buildな形で脆弱性対応されたバージョンが公開されています。

ntpパッケージを使用している場合のみ影響を受けるとのことなので、使用して運用中の方はパッケージを無効にするか、どうしても使用する場合はバージョンアップを検討するようにしましょう。

Security

NTP security vulnerability notification policy, security patch policy, how to report a security issue, and the archive o...

www.ntp.org