How to become an author
Search
Write a publication
Pull to refresh

Comments 17

У меня на серваки с iLO 2 уже все кэйрпаки и гарантии закончились, не могу кейс открыть.
Но на форуме представители HP общаются, и адекватно реагируют.
Причем, именно те, которые имеют непосредственно отношение к решению проблемы.
Думаю, что и без кейса вопрос решится.
В принципе, уже и решился.

Проблемой остается только необходимость рестарта питаловом сотен серверов. А на это, похоже, решения не будет :(
This comment wasn’t rated yet0
Самое плохое, что с февраля (вроде) все обновления доступны только при активном кэйрпаке или гарантии
This comment wasn’t rated yet0
Да, действительно, для многих девайсов это так, но почему-то не для всех.
Для софта под G1/G5/G6 доступ есть и без кэйрпака.
А для G7/G8 обычно гарантия еще действует 3-х летняя.
This comment wasn’t rated yet0
надо будет проверить после выхода исправления
This comment wasn’t rated yet0
Да уж.
Неприятные ощущения были, когда я словил три сотни алертов о пропадании связи и переходом всех серверов в состояние Failed.
Это аккурат совпало с некоторым шаманством вокруг перепрошивки MAC адресов и настроек одной сетевухи в той же сети.
Около суток потребовалось, чтобы убедиться, что это не какой-то паразитный трафик глюкавой сетевухи все обрушил, а некое внешнее воздействие.

У любого админа в такие моменты появляется несколько новых седых волос :-)
This comment wasn’t rated yet0
Апдейт от Oscar A. Perez:

Unfortunately, there is no way to reboot iLO2 in this case.

Thanks to the bug I found in this RSA SSLC library, iLO2 webserver is stuck in a tight infinite loop. And since the iLO2 webserver runs at higher priority than every other iLO2 service like SSH, IPMI, PCI Channel Interface, etc., the RTOS isn't giving any CPU time to lower priority services and threads.
Only higher priority threads like the TCP/IP stack can run. This is why you see iLO responding to pings and even establishing TCP/UDP connections but, beyond that you will not see the application layer responding.

h30499.www3.hp.com/t5/HP-BladeSystem-Management/OA-Heartbleed-update/m-p/6448768/highlight/true#M1020
Total votes 2: ↑2 and ↓0+2
Ага, старинный спор, можно ли выставлять ssh/ipmi голой задницей в интернеты получил внезапный аргумент.
This comment wasn’t rated yet0
Печально то, что не все iLO/IPMI/RAC системы можно закрыть фаерволом
This comment wasn’t rated yet0
Да, и за reverse proxy тоже хрен поставишь :(
This comment wasn’t rated yet0
UFO just landed and posted this here
Согласен, тем не менее проблема всёравно актуальна.
Сканеры безопасников теперь надо отключать для подсетей с ilo.
This comment wasn’t rated yet0
Вы хоть понимаете, что при появлении какой-либо уязвимости, злоумышленник получает доступ даже не рута?

Что? Прям при любой уязвимости и сразу доступа рута, и даже больше? Как страшен мир! Не смешите.

Число уязвимостей в различных реализациях VPN и проксей не сильно отличается от числа найденных уязвимостей в iLO/IPMI/KVM.

Что касается iLO2, то все найденные почти за 10 лет security уязвимости касались OpenSSL, который используется и в VPN, и в Proxy, которые Вы почему-то считаете панацеей.

Ваши суждения весьма наивны хотя бы потому, что в IPMI/KVM/iLO по-определению число уязвимостей гораздо меньше (ввиду примитивности их реализации) чем в том ПО (включая OS), которое установлено на этих же серверах самим пользователем.
This comment wasn’t rated yet0
Все это, конечно, не отменяет того, что если есть возможность поставить порты управления за дополнительный экран (VPN, firewall, IDS, proxy и т.п.), то это делать надо.

Да и про целесообразность забывать не стоит. Взломов серверов напрямую, не знаю, наверное в миллионы раз больше, чем взломов серверов через средства удаленного администрирования.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr