Mikrotik RouterOS 6.45 Release
Важное замечание!!!!!
В связи с удалением совместимости со старыми паролями в этой версии, переход на любую версию до 6.43 (v6.42.12 и старше) очистит все пароли пользователей и позволит проводить аутентификацию без пароля. При даунгрейде позаботьтесь о безопасности.

Основные изменения в 6.45:
----------------------
!) dot1x - добавлена поддержка IEEE 802.1X Port-Based Network Access Control;
!) ike2 - добавлена поддержка EAP методов аутентификации (eap-tls, eap-ttls, eap-peap, eap-mschapv2) при инициации;
!) security - исправлены уязвимости CVE-2018-1157, CVE-2018-1158;
!) security - исправлены уязвимости CVE-2019-11477, CVE-2019-11478, CVE-2019-11479;
!) security - исправлена уязвимость CVE-2019-13074;
!) user - удалено небезопасное хранилище паролей;
Остальные изменения:

*) bridge - правильное отображение статуса моста FastPath при использовании vlan-filtering или dhcp-snooping;
*) bridge - корректная обработка таблицы хостов бриджа;
*) bridge - исправлено логирование при включенном hardware offloading;
*) bridge - улучшена стабильность при прохождении трафика через USB модем с включенным фаерволом на бридже;
*) capsman - исправлен процесс апгрейда системы CAP для MMIPS;
*) capsman - исправлено использование списка интерфейсов в списке доступа;
*) ccr - усовершенствована обработка пакетов после перегрузки интерфейса;
*) certificate - добавлено поле "key-type";
*) certificate - добавлена поддержка сертификатов ECDSA (prime256v1, secp384r1, secp521r1);
*) certificate - добавлена поддержка самоподписных сертификатов в клиенте SCEP;
*) certificate - тепер RAM является хранилищем CRL по умолчанию;
*) certificate - убран флаг DSA (D);
*) certificate - убран параметр "set-ca-passphrase";
*) chr - для доверенных адаптеров нужно устанавливать "disable-running-check=yes";
*) cloud - добавлен параметр "replace" для комманды "upload-file" при бэкапе;
*) conntrack - исправлена проверка состояния подключения в протоколе GRE (CVE-2014-8160);
*) conntrack - значительные улучшения в стабильности и производительности;
*) crs317 - исправлен известный мультикаст флуд CPU;
*) crs3xx - добавлен ethernet tx-drop счетчик;
*) crs3xx - правильное отображение информации автоопределения для SFP/SFP+ интерфейсов при 1Gbps;
*) crs3xx - исправлено автоопределение при использовании четырехжильной витой пары;
*) crs3xx - исправлен "tx-drop" счетчик;
*) crs3xx - улучшено выделение ресурсов для чипов CRS326, CRS328, CRS305;
*) defconf - добавлено поле "custom-script", которое выводит кастомную конфигурацию, установленную Netinstall;
*) defconf - автоматически устанавлвает параметр "installation" для внешних устройств;
*) defconf - изменен тип конфигурации по умолчанию для серии cAP. Теперь это AP;
*) defconf - исправлен выбор ширины канала для устройств, залоченых под RU;
*) dhcp - создание двойной очереди основанной на ограничениях конфигурации срока аренды DHCP сервера;
*) dhcp - для одинаковой конфигурации двойной очереди не требуется срок аренды и привязка;
*) dhcp - отображение warning в логе, если время аренды и привязка в стеке имеют разные параметры, которые должны совпадать, и создают отдельные очереди;
*) dhcpv4-server - добавлен параметр "client-mac-limit";
*) dhcpv4-server - добавлено логирование конфликта IP;
*) dhcpv4-server - добавлена поддержка RADIUS accounting со статистикой на очередях;
*) dhcpv4-server - добавлен "vendor-class-id" matcher (только CLI);
*) dhcpv4-server - улучшена стабильности при выполнении "check-status";
*) dhcpv4-server - заменен статус аренды с "busy" на "conflict" и "declined";
*) dhcpv6-client - добавлена опция для отключения rapid-commit;
*) dhcpv6-client - исправлено обновление статуса при выходе из "bound";
*) dhcpv6-server - добавлены дополнительные параметры RADIUS для делегации Prefix, "rate-limit" и "life-time";
*) dhcpv6-server - добавлена поддержка "address-list" для bindings;
*) dhcpv6-server - добавлены параметры "insert-queue-before" и "parent-queue";
*) dhcpv6-server - added RADIUS accounting support with queue based statistics;
*) dhcpv6-server - добавлен параметр "route-distance";
*) dhcpv6-server - исправлено динамическое назначение IPv6 без правильной привязки к серверу;
*) dhcpv6-server - переопределение настроек префикса пула и/или DNS сервера значениями из RADIUS;
*) discovery - корректное создание соседей из сообщений обнаружения в тэгированых VLAN;
*) discovery - исправление пакетов CDP без адресов на слейв портах (представлено в 6.44);
*) discovery - улучшено определение MAC адресов соседей;
*) discovery - ограничение максимального количества соседей на интерфейс, основанное на общем количестве RAM;
*) discovery - показывать соседей на реальных mesh портах;
*) e-mail - в заголовок добавлено поле идентификации "message-id";
*) e-mail - правильное освобождение сессии отправки сообщения, если не резолвится домен;
*) ethernet - добавлена поддержка 25Gbps и 40Gbps;
*) ethernet - исправлен флаг running (R), который отсутствует на x86 интерфейсах и CHR legacy адаптерах;
*) ethernet - увеличен порог для предупреждения при петле до 5 пакетов в секунду;
*) fetch - добавлена поддержка SFTP;
*) fetch - улучшена policy lookup пользователей;
*) firewall - исправлена обработка фрагментированных пакетов при включенном RAW фаерволе;
*) firewall - обработка пакетов RAW фаерволом с выключенным отслеживанием соединений;
*) gps - исправлено отсутствие минуса при близких к нулю координатах в dd формате;
*) gps - проверка на заглавные буквы в параметре "direction";
*) gps - удаленение ненужных символов в значениях "longtitude" и "latitude";
*) gps - использование по умолчанию порта "serial0" в LtAP mini;
*) hotspot - добавлена переменная "interface-mac" для HTML страниц;
*) hotspot - перемещен тэг HTML "title", стоит после "meta" тэгов;
*) ike1 - настроены темы логирования пакетов в дебаге;
*) ike2 - добавлена поддержка сертификатов аутентификации ECDSA (rfc4754);
*) ike2 - добавлена поддержка переполучения ключа для IKE SA при инициации;
*) ike2 - не отправлять RADIUS серверу атрибут "User-Name", если не указано;
*) ike2 - улучшена верификация сертификатов при получении нескольких CA;
*) ike2 - улучшен процесс child SA rekeying;
*) ike2 - улучшена конвертация идентификации XAuth при апгрейде;
*) ike2 - предпочитать SAN вместо DN из сертификатов при ID payload;
*) ippool - улучшено логирование для IPv6 пула при использовании префикса;
*) ipsec - добавлено динамическое поле комментария для меню "active-peers", унаследываемое от меню идентификации;
*) ipsec - добавлен счетчик "ph2-total" для меню "active-peers";
*) ipsec - добавлена поддержка методов аутентификации "eap-radius" и "pre-shared-key-xauth" для RADIUS;
*) ipsec - добавлена статистика трафика в меню "active-peers";
*) ipsec - отключение настроек "src-address" и "dst-address" для политик режима транспорта;
*) ipsec - невозможность добавления индентификатора к динамическому пиру;
*) ipsec - исправление недоступности политик после изменения приоритетов;
*) ipsec - общие усоверженствования для управления политиками;
*) ipsec - правильное завершение поднятого тоннеля при смене адреса;
*) ipsec - переименование "remote-peers" в "active-peers";
*) ipsec - переименование методов авторизации "rsa-signature" в "digital-signature";
*) ipsec - замена пареметров адреса SA настройками пира;
*) ipsec - использование имени тоннеля для имени пира IPsec;
*) ipv6 - улучшена стабильность системы при получении bogus пакетов;
*) ltap - переименование слотов SIM "up" и "down" в "2" и "3";
*) lte - добавлена начальная поддержка Vodafone R216-Z;
*) lte - добавлен выбор подсети для passthrough интерфейса;
*) lte - добавлена поддержка ручного выбора оператора;
*) lte - возможность установки пустого APN;
*) lte - возможность указания URL для обновления прошивки, параметр "firmware-file";
*) lte - не отображать сообщение об ошибке для тех комманд, которые не поддерживаются;
*) lte - исправлена реактивация сесии на R11e-LTE в режиме UMTS;
*) lte - улучшен процесс обновления прошивки;
*) lte - улучшена команда запроса "info";
*) lte - улучшена работа модема R11e-4G;
*) lte - переименована команда обновления прошивки с "path" в "firmware-file" (только CLI);
*) lte - отображение цифробуквенного значения для информации об операторе;
*) lte - отображение корректной ревизии прошивки после обновления;
*) lte - использование по умолчанию имени APN "internet", если не определено другое;
*) lte - использование дополнительного DNS для насйтройки DNS сервера;
*) m33g - добавлена поддержка дополнительного консольного портп на GPIO выводах;
*) ospf - добавлена поддержка link scope opaque LSAs (Type 9) для OSPFv2;
*) ospf - исправлена проверка типа opaque LSA в OSPFv2;
*) ospf - улучшена обработка "unknown" LSA в OSPFv3;
*) ovpn - добавлен параметр "verify-server-certificate" для клиента OVPN (CVE-2018-10066);
*) ppp - добавлена начальная поддержка для Quectel BG96;
*) proxy - увеличение минимально свободного количества RAM которое не может быть использовано для прокси сервисов;
*) rb3011 - улучшена стабильность при получении bogus пакетов;
*) rb4011 - исправлена дубликация MAC адресов между интерфейсами sfp-sfpplus1 и wlan1 (требуется сброс конфигурации wlan1);
*) rb921 - улучшена стабильность системы (требуется "/system routerboard upgrade");
*) routerboard - переименовано меню 'sim' в 'modem';
*) sfp - исправлено чтение DDMI после ребута с S-35LC20D трансиверов;
*) sms - добавлен функционал USSD сообщений в "/tool sms" (только CLI);
*) sms - разрешить указание множественных значений "allowed-number";
*) sms - усовершенствовано логирование доставки;
*) snmp - добавлен OID "dot1dStpPortTable";
*) snmp - добавлен OID для интерфейса соседей "interface";
*) snmp - добавлена колонка "write-access" в community print;
*) snmp - разрешение настройки интерфейса "adminStatus";
*) snmp - исправлена неработоспособность "send-trap" когда "trap-generators" не содержит "temp-exception";
*) snmp - исправлена "send-trap" с множественными "trap-targets";
*) snmp - улучшена надежность проверки пакетов SNMP сервиса;
*) snmp - правильная отдача счетчиков multicast и broadcast пакетов IF-MIB OIDs;
*) ssh - прием remote forwarding запросов с пустыми hostnames;
*) ssh - добавлена команда "ssh-exec" для неинтерактивного исполнения комманд;
*) ssh - исправлено исполнение множественных неинтерактивных комманд;
*) ssh - улучшена remote forwarding handling (представлена в 6.44.3);
*) ssh - улучшен процесс обмена ключей сессий при изменении порога обмена данными;
*) ssh - сохранение ключей хоста при сбросе конфигурации с "keep-users=yes";
*) ssh - использование правильного пользователя при указании параметра "output-to-file";
*) sstp - улучшение стабильности при получении трафика в ловушку фаервола;
*) supout - добавлена секция IPv6 ND в supout файл;
*) supout - добавлена секция "kid-control devices" в файл supout;
*) supout - добавлена секция "pwr-line" в файл supout;
*) supout - изменена секция пула IPv6 для выведения подробных данных;
*) switch - правильное применение настроек после сброса чипа свитча;
*) tftp - добавлен параметр "max-block-size" в меню TFTP "settings" (только CLI);
*) tile - улучшено обнаружение пропадания линка на портах SFP+;
*) tr069-client - добавлена поддержка параметров LTE CQI и IMSI;
*) tr069-client - исправлено потенциальное повреждением памяти;
*) tr069-client - улучшено оповещение об ошибках при неверном XML файле при обновлении прошивки;
*) traceroute - улучшена стабильность при отправке большого количества ping;
*) traffic-generator - улучшена стабильность при остановке генератора трафика;
*) tunnel - удалено требование "local-address" при использовании "ipsec-secret";
*) userman - добавлена поддержка "Delegated-IPv6-Pool" и "DNS-Server-IPv6-Address" (только CLI);
*) w60g - не отображать неиспользуемый параметр "dmg";
*) w60g - при обнаружении точек доступа с одинаковым SSID предпочитать ту, у которой уровень сигнала выше;
*) w60g - отображать текущую частоту в комманде "monitor";
*) winbox - добавлено меню "System/SwOS" для мультизагрузочных устройств;
*) winbox - запрещено устанавливать значение "dns-lookup-interval" равное "0";
*) winbox - отображение меню "LCD" только для тех устройств, которые обладают им;
*) wireless - исправлена дубликация частоты в меню выбора частоты;
*) wireless - исправлен неверный заголовок IP для RADIUS accounting packet;
*) wireless - улучшена стабильность канала шириной 160MHz на rb4011;
*) wireless - улучшено определение радара DFS при использовании non-ETSI страны;
*) wireless - улучшен выбор режима установки для внешнего оборудования;
*) wireless - установка по умолчанию SSID и supplicant-identity такими же, как и иднетификатор роутера;
*) wireless - обновлена информация о регулировании в "china";
*) wireless - обновлена информация о регулировании в "new zealand";
*) www - улучшено пересогласование по инициативе клиента в протоколах SSL и TLS (CVE-2011-1473);
Источник: mikrotik.com
СИОН
2019-07-03 14:03:23
Avatar
очистил пароли... обновил... ввел пароли заново те что были и нихрена не работает по api запросам!
В чем может быть причина?
betatest
2019-07-03 14:38:46
Avatar
На сколько я понял, пароли нормально обновляются. Заново их нужно вводить только при откате на версию ниже. Или я не правильно понял.
Djon84
2019-07-03 20:17:56
Avatar
На сайте микротика англецким по белому написано: Old API authentication method will also no longer work, see documentation for new login procedure:
https://wiki.mikrotik.com/wiki/Manual:API#Initial_login
Вы должны войти

loading