Comments 17
Кейс в HP заводили, что говорят?
0
У меня на серваки с iLO 2 уже все кэйрпаки и гарантии закончились, не могу кейс открыть.
Но на форуме представители HP общаются, и адекватно реагируют.
Причем, именно те, которые имеют непосредственно отношение к решению проблемы.
Думаю, что и без кейса вопрос решится.
В принципе, уже и решился.
Проблемой остается только необходимость рестарта питаловом сотен серверов. А на это, похоже, решения не будет :(
Но на форуме представители HP общаются, и адекватно реагируют.
Причем, именно те, которые имеют непосредственно отношение к решению проблемы.
Думаю, что и без кейса вопрос решится.
В принципе, уже и решился.
Проблемой остается только необходимость рестарта питаловом сотен серверов. А на это, похоже, решения не будет :(
0
фигасе…
+1
Да уж.
Неприятные ощущения были, когда я словил три сотни алертов о пропадании связи и переходом всех серверов в состояние Failed.
Это аккурат совпало с некоторым шаманством вокруг перепрошивки MAC адресов и настроек одной сетевухи в той же сети.
Около суток потребовалось, чтобы убедиться, что это не какой-то паразитный трафик глюкавой сетевухи все обрушил, а некое внешнее воздействие.
У любого админа в такие моменты появляется несколько новых седых волос :-)
Неприятные ощущения были, когда я словил три сотни алертов о пропадании связи и переходом всех серверов в состояние Failed.
Это аккурат совпало с некоторым шаманством вокруг перепрошивки MAC адресов и настроек одной сетевухи в той же сети.
Около суток потребовалось, чтобы убедиться, что это не какой-то паразитный трафик глюкавой сетевухи все обрушил, а некое внешнее воздействие.
У любого админа в такие моменты появляется несколько новых седых волос :-)
0
Апдейт от Oscar A. Perez:
Unfortunately, there is no way to reboot iLO2 in this case.
Thanks to the bug I found in this RSA SSLC library, iLO2 webserver is stuck in a tight infinite loop. And since the iLO2 webserver runs at higher priority than every other iLO2 service like SSH, IPMI, PCI Channel Interface, etc., the RTOS isn't giving any CPU time to lower priority services and threads.
Only higher priority threads like the TCP/IP stack can run. This is why you see iLO responding to pings and even establishing TCP/UDP connections but, beyond that you will not see the application layer responding.
h30499.www3.hp.com/t5/HP-BladeSystem-Management/OA-Heartbleed-update/m-p/6448768/highlight/true#M1020
Unfortunately, there is no way to reboot iLO2 in this case.
Thanks to the bug I found in this RSA SSLC library, iLO2 webserver is stuck in a tight infinite loop. And since the iLO2 webserver runs at higher priority than every other iLO2 service like SSH, IPMI, PCI Channel Interface, etc., the RTOS isn't giving any CPU time to lower priority services and threads.
Only higher priority threads like the TCP/IP stack can run. This is why you see iLO responding to pings and even establishing TCP/UDP connections but, beyond that you will not see the application layer responding.
h30499.www3.hp.com/t5/HP-BladeSystem-Management/OA-Heartbleed-update/m-p/6448768/highlight/true#M1020
+2
Ага, старинный спор, можно ли выставлять ssh/ipmi голой задницей в интернеты получил внезапный аргумент.
0
UFO just landed and posted this here
Согласен, тем не менее проблема всёравно актуальна.
Сканеры безопасников теперь надо отключать для подсетей с ilo.
Сканеры безопасников теперь надо отключать для подсетей с ilo.
0
Вы хоть понимаете, что при появлении какой-либо уязвимости, злоумышленник получает доступ даже не рута?
Что? Прям при любой уязвимости и сразу доступа рута, и даже больше? Как страшен мир! Не смешите.
Число уязвимостей в различных реализациях VPN и проксей не сильно отличается от числа найденных уязвимостей в iLO/IPMI/KVM.
Что касается iLO2, то все найденные почти за 10 лет security уязвимости касались OpenSSL, который используется и в VPN, и в Proxy, которые Вы почему-то считаете панацеей.
Ваши суждения весьма наивны хотя бы потому, что в IPMI/KVM/iLO по-определению число уязвимостей гораздо меньше (ввиду примитивности их реализации) чем в том ПО (включая OS), которое установлено на этих же серверах самим пользователем.
0
Все это, конечно, не отменяет того, что если есть возможность поставить порты управления за дополнительный экран (VPN, firewall, IDS, proxy и т.п.), то это делать надо.
Да и про целесообразность забывать не стоит. Взломов серверов напрямую, не знаю, наверное в миллионы раз больше, чем взломов серверов через средства удаленного администрирования.
Да и про целесообразность забывать не стоит. Взломов серверов напрямую, не знаю, наверное в миллионы раз больше, чем взломов серверов через средства удаленного администрирования.
0
Для информации www.linux.org.ru/forum/security/10364401
0
Ветку на форумах HP почему-то то ли удалили, то ли ограничили к ней доступ.
Здесь актуальная инфа и ссылка на патченую прошивку:
h30499.www3.hp.com/t5/HP-BladeSystem/iLo2-lost-connection-to-blades/m-p/6447738/highlight/true#M19486
Здесь актуальная инфа и ссылка на патченую прошивку:
h30499.www3.hp.com/t5/HP-BladeSystem/iLo2-lost-connection-to-blades/m-p/6447738/highlight/true#M19486
0
Sign up to leave a comment.
HP iLO 2 уязвимо для Heartbleed — защищаемся и обновляемся!