<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<br>
-----BEGIN PGP SIGNED MESSAGE----- <br>
Hash: SHA256 <br>
<br>
Ch.er.ère.s cmNOG-istes,<br>
<br>
Le dim. 5 août 2018 2:40 PM, PATRICK KOUOBOU
<<a class="moz-txt-link-abbreviated" href="mailto:patrickouobou@gmail.com">patrickouobou@gmail.com</a>
<a class="moz-txt-link-rfc2396E" href="mailto:patrickouobou@gmail.com"><mailto:patrickouobou@gmail.com></a>> a écrit :<br>
<br>
FYI.<br>
<br>
<br>
Merci Patrick,<br>
Même si je peux confirmer que le courriel est arrivé dans les boîtes
de messagerie de ce.ux.lles, des utilisat.eur.rice.s|exploitant.e.s,
qui sont sur la liste de Mikrotik, j'ai bien des inquiétudes en
regard avec la note ci-dessous ; quant à l'exécution de ces
consignes ; en bout de chaîne. D'autant plus que Mikrotik reconnaît
ainsi tout le sérieux du problème que pose le déploiement des mise à
jour (MàJ) dans les routeurs des
utilisat.eur.rice.s|exploitant.e.s...<br>
<br>
C'est pourquoi, en lisant les instructions du wiki [1], je me
demande pourquoi certains de ces paramètres 'recommandés' ne sont
pas, tout simplement, introduits dans la configuration par défaut ?<br>
<br>
Je pense à :<br>
* la désactivation des services non sécurisés ou non forcément
utilisés (telnet, ftp, www, dns cache, bandwidth server, network
discovery...) d'une part ; et pour<br>
* IPv6 et je comprends mieux pourquoi je n'ai pas entendu parler
d'IPv6 pendant tout le MuM de Yaoundé (avec près de 1000
participants :-/), vraiment Mikrotik humm : désactiver IPv6 par
défaut en disant que le module n'est pas prêt (après 22 ans
d'existence de ce protocole :-|). Quelle #IPv6Excuses [2] :'-(<br>
* ...<br>
<br>
...ils disent juste ce qu'il faut faire, côté utilisat.eur.rice,
comme s'il n'y avait plus rien à faire côté constructeur :-/<br>
<br>
Est-ce que la Communauté locale|globale Mikrotik et l'entreprise
vont se contenter de cette démarche qui n'avait déjà pas marché et
qui ressemble à quelque chose du genre : cette menace ne franchira
certainement pas la fibre optique sous marine, et puis chacun est
responsable de son routeur...nous on a déjà released :'-(<br>
<br>
...pendant qu'on y est, ceci [3] me rappelle que les routeurs des
modèles BM626, de Huaweï sont toujours en services, chez les abonnés
de certains de nos gros opérateurs, avec leurs failles sécuritaires
[3] impossibles à upgrader; à cause de la fin du support ; depuis
bien avant leur exploitation au 237... :'-(<br>
__<br>
[1]: <a class="moz-txt-link-freetext" href="https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router">https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router</a><br>
[2]: <a class="moz-txt-link-freetext" href="http://ipv6excuses.com">http://ipv6excuses.com</a><br>
[3]: ...pas la même chose, c'est sûr ->
<a class="moz-txt-link-freetext" href="https://lists.cmnog.cm/pipermail/cmnog/2018-August/001062.html">https://lists.cmnog.cm/pipermail/cmnog/2018-August/001062.html</a><br>
[4]: <a class="moz-txt-link-freetext" href="https://pierrekim.github.io/advisories/2015-huawei-0x01.txt">https://pierrekim.github.io/advisories/2015-huawei-0x01.txt</a><br>
<br>
Cordialement,<br>
- --sb.<br>
__<br>
<a class="moz-txt-link-freetext" href="http://www.chretiennement.org">http://www.chretiennement.org</a><br>
<br>
<br>
<br>
Le dim. 5 août 2018 à 14:20, MikroTik <<a class="moz-txt-link-abbreviated" href="mailto:no-reply@mikrotik.com">no-reply@mikrotik.com</a>
<a class="moz-txt-link-rfc2396E" href="mailto:no-reply@mikrotik.com"><mailto:no-reply@mikrotik.com></a>> a écrit :<br>
<br>
Hello,<br>
<br>
It has come to our attention that a rogue botnet is
currently using a vulnerability in the RouterOS Winbox service, that
was patched in RouterOS v6.42.1 in April 23, 2018.<br>
<br>
Since all RouterOS devices offer free upgrades with just two
clicks, we urge you to upgrade your devices with the "Check for
updates" button, if you haven't done so already.<br>
<br>
Steps to be taken:<br>
<br>
- Upgrade RouterOS to the latest release<br>
- Change your password after upgrading<br>
- Restore your configuration and inspect it for unknown
settings<br>
- Implement a good firewall according to the article here:<br>
<br>
<a class="moz-txt-link-freetext" href="https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router">https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router</a><br>
<br>
All versions from 6.29 (release date: 2015/28/05) to 6.42
(release date 2018/04/20) are vulnerable. Is your device affected?
If you have open Winbox access to untrusted networks and are running
one of the affected versions: yes, you could be affected. Follow
advice above. If Winbox is not available to internet, you might be
safe, but upgrade still recommended.<br>
<br>
More information about the issue can be found here:
<a class="moz-txt-link-freetext" href="https://blog.mikrotik.com">https://blog.mikrotik.com</a><br>
<br>
Best regards,<br>
MikroTik<br>
<br>
[...]<br>
<br>
<br>
<br>
<br>
- -- <br>
<br>
Regards,<br>
Sylvain B.<br>
__<br>
Website : <a class="moz-txt-link-freetext" href="https://www.cmnog.cm">https://www.cmnog.cm</a> <a class="moz-txt-link-rfc2396E" href="https://www.cmnog.cm/"><https://www.cmnog.cm/></a><br>
Wiki : <a class="moz-txt-link-freetext" href="https://www.cmnog.cm/dokuwiki">https://www.cmnog.cm/dokuwiki</a><br>
Surveys : <a class="moz-txt-link-freetext" href="https://survey.cmnog.cm">https://survey.cmnog.cm</a> <a class="moz-txt-link-rfc2396E" href="https://survey.cmnog.cm/"><https://survey.cmnog.cm/></a><br>
Subscribe to Mailing List :
<a class="moz-txt-link-freetext" href="https://lists.cmnog.cm/mailman/listinfo/cmnog/">https://lists.cmnog.cm/mailman/listinfo/cmnog/</a><br>
Mailing List's Archives : <a class="moz-txt-link-freetext" href="https://lists.cmnog.cm/pipermail/cmnog/">https://lists.cmnog.cm/pipermail/cmnog/</a><br>
Last Event's Feed : <a class="moz-txt-link-freetext" href="https://twitter.com/#cmNOGlab3">https://twitter.com/#cmNOGlab3</a><br>
<a class="moz-txt-link-freetext" href="https://twitter.com/cmN0G">https://twitter.com/cmN0G</a> |<br>
<a class="moz-txt-link-freetext" href="https://facebook.com/cmNOG">https://facebook.com/cmNOG</a><br>
<a class="moz-txt-link-freetext" href="https://twitter.com/#REBOOTcmNOG">https://twitter.com/#REBOOTcmNOG</a><br>
<a class="moz-txt-link-freetext" href="https://twitter.com/#cmNOG">https://twitter.com/#cmNOG</a><br>
<a class="moz-txt-link-freetext" href="https://cmnog.wordpress.com/">https://cmnog.wordpress.com/</a><br>
<br>
<br>
<br>
<br>
-----BEGIN PGP SIGNATURE----- <br>
Version: GnuPG v2 <br>
<br>
iQIcBAEBCAAGBQJbcp5YAAoJEAOHQINlrIWUdXYQAMQBYJBI3nB4o+a3p3dlSseq <br>
iHiXasBbJrncKlcOTweqXXcleXTkXvxwLoARwmzJOniWcQCdhozvamh+krIkeyZC <br>
c/0icW2gLCUR1CFEXEujevfgkmYvcaG4d/wfQLpRVS3hUFVDEPZIUYy9fQKL50oM <br>
dOpBeqFWpHn7XW9oLJ2WHrS8uUDYRpiz16IQ11Nyzd+Y35njbp08GRacMSKEAgfR <br>
Q+sj7EtMxwnddi2Erft9cUNIoLmRJzXIvWLFlxyQolRP8SE6BXOLVzCwdvIKQgPC <br>
wc2WpzrVEXbfpF/6TPjguDnJzFPWDn3JWEG5p1iA6uusej8GhN9h1v2dm8eGq6c3 <br>
ttizdJ7BKhmb8eNsRZWDBB92uF7b6EvfJBXJuoyFGKEL9p0qOtq98RILQ3GzIv/t <br>
afefASl0JyHzhg4f6WZIuWliyuCoCGxmv65hykoyj+37BWiO43IOGxSrLIj7QCM1 <br>
S1G5jwbsIY/fWtjW3Bj+N+yvhpCbCG+0t0rUQj3hNgF+FK8kzh78KXZskEca28UX <br>
mPzbalsv0rJQzhLg5gLXHolRvvbwbnC1O+i1lG93LNaaxhhwaO+ZuD3JfJ83h2k0 <br>
PRPCgpbhhmrNvkoN0Yu57YUIK8a9PrFM2Vi9ClUk1nsSOgexVM3fEgVJ35AdjydN <br>
KQ/83giSBJdYkDeSahOp <br>
=1ldO <br>
-----END PGP SIGNATURE----- <br>
<br>
</body>
</html>