Tenable发现的CVE-2018-115X问题

雷竞技网站Tenable Inc.联系了MikroTik，发现RouterOS web服务器存在几个问题。l雷竞技这些问题只影响经过身份验证的用户，也就是说，要利用它们，设备上必须有已知的用户名和密码。您的数据、访问系统和配置没有风险。以下所有问题只允许经过身份验证的用户(甚至是只读用户)导致www服务崩溃。Tenable为这些问题分配了CVE编号。

• CVE-2018-1156:通过身份验证的用户会触发堆栈缓冲区溢出。
• CVE-2018-1157:文件上传内存耗尽。经过身份验证的用户可以使www二进制文件消耗所有内存。
• CVE-2018-1158:递归JSON解析堆栈耗尽，这可能允许经过身份验证的用户导致www服务崩溃。
• CVE-2018-1159: www内存损坏，如果连接被启动并且没有正确清理，那么在www中发生堆损坏。

以上问题在以下的RouterOS版本中都得到了修复:l雷竞技6.42.7, 6.40.9, 6.43