abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 15:11 | Bezpečnostní upozornění

    V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).

    Ladislav Hagara | Komentářů: 0
    dnes 14:00 | IT novinky

    Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.

    Ladislav Hagara | Komentářů: 4
    dnes 12:33 | Zajímavý software

    Společnost Meta představila OpenZL. Jedná se o open source framework pro kompresi dat s ohledem na jejich formát. Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    dnes 03:33 | IT novinky

    Google postupně zpřístupňuje českým uživatelům Režim AI (AI Mode), tj. nový režim vyhledávání založený na umělé inteligenci. Režim AI nabízí pokročilé uvažování, multimodalitu a možnost prozkoumat jakékoliv téma do hloubky pomocí dodatečných dotazů a užitečných odkazů na weby.

    Ladislav Hagara | Komentářů: 0
    včera 18:11 | Nová verze

    Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 2
    včera 16:33 | IT novinky

    Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.

    Ladislav Hagara | Komentářů: 2
    včera 15:55 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Nová verze

    Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    6.10. 23:55 | Komunita

    Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

    Ladislav Hagara | Komentářů: 5
    6.10. 21:00 | Nová verze

    Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (39%)
     (46%)
     (15%)
     (17%)
     (21%)
     (15%)
     (17%)
     (15%)
     (15%)
    Celkem 197 hlasů
     Komentářů: 13, poslední dnes 07:41
    Rozcestník

    Zranitelnost serverů Supermicro

    Zachary Wikholm z bezpečnostního týmu CARI.net zveřejnil informaci o kritické zranitelnosti několika základních desek vyráběných společností Supermicro. Bylo zjištěno, že přihlašovací hesla IPMI/BMC nejsou hashována a uchovávají se v plaintextu do souboru, který je k dispozici ke stažení na portu 49152. Zranitelnost byla popsána u základních desek Supermicro s managementem BMC postaveném na chipu Nuvoton WPCM450. Výčet dotčených verzí firmware je dostupný na 0bin.net

    24.6.2014 06:57 | Michal Makovec | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    24.6.2014 08:02 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Z toho posledního odkazu bych vůbec nebyl moudrý. Lepší je tenhle.
    24.6.2014 09:17 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Mimochodem, koukám, že ty chyby byly opravené už před rokem - a z vlastní zkušenosti vím, že měsíc starý server s deskou X9DR3-F touto chybou netrpí. Myslím, že je správné upozornit na nutnost aktualizace firmware, ale ta forma, kdy se zveřejní informace o chybě, ale už ne bližší informace o tom, jak chybu napravit (přestože ta možnost tu - minimálně u části desek - dávno je), mi přijde poněkud bulvární...
    24.6.2014 11:42 Brumla01 | skóre: 8
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    +1
    24.6.2014 12:06 8an | skóre: 30
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Bohužel ne všude, firmware pro desky z řady X7 (např. X7SPA-HF s Atomem) je děravý i v nejnovější verzi.
    If you build an operating system that even an idiot can use, only idiots will use it.
    24.6.2014 12:28 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Proto jsem psal "minimálně u části desek". Přesto mi způsob, jakým je to podáno, přijde spíš jako metoda konkurenčního boje než jako seriózní zpráva (a znovu opakuji, že je podle mě dobře, že na to upozornili, kritizuju jen formu).

    Mimochodem, zkusil bych dotaz na Abacus. Netuším proč, ale výše zmíněný server koupený před měsícem má novější firmware, než jaký je k dispozici na stránkách SuperMicra. Takže pokud bych byl majitelem takovéto desky, asi bych se zkusil poptat, jestli není k dispozici neoficiální opravená verze a pokud je, proč ji nenabízejí ke stažení.
    24.6.2014 13:45 8an | skóre: 30
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    To, že se o problému a opravě nikdo nedozvěděl, je také chyba Supermicro – nejspíš doufali, že když to neoznámí a jen potichu opraví, tak se na to nepřijde a ujdou ostudě. Přitom těžko mohli čekat, že budou lidi upgradovat automaticky, když na vlastních stránkách píšou "Please do not download / upgrade the Firmware UNLESS your system has a firmware-related issue." Tak teď mají ostudu ještě větší a po zásluze, tohle není nějaká omylem zapomenutá kontrola délky řetězce, ale chyba z kategorie "What were they thinking?" (Hesla v plaintextu? Konfigurace dostupná bez autentizace?).

    Do Abacusu zkusím napsat.
    If you build an operating system that even an idiot can use, only idiots will use it.
    24.6.2014 14:29 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Jo, to je pravda.
    27.6.2014 01:12 8an | skóre: 30
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Zajímavý článek k tématu: IPMI: Freight Train to Hell. Vina zdá se není tak úplně na straně Supermicro, ty bezpečnostní díry jsou dané specifikací od Intelu. Šílené.
    If you build an operating system that even an idiot can use, only idiots will use it.
    29.6.2014 20:16 frr | skóre: 34
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    To je *hodně* dobré čtení, díky :-) Autor se sice věnuje výhradně bezpečnostním dírám, nikoli celkové nahnilosti, ale možná to autorovi na značkových strojích prostě převážně fungovalo. Zdá se, že už to funguje i SuperMicru...

    Je tam pár zajímavých poznámek k technologickému pozadí a odkazy na další čtení. Zaujalo mě například, že autor nezmiňuje AMT jako aktuální generaci/nástupce IPMI, ale jako "jinou" vývojovou větev zaměřenou na corporate desktop. Zajímavé - zase jsem o něco chytřejší.
    [:wq]
    Nikola Ciprich avatar 24.6.2014 15:58 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Netuším proč, ale výše zmíněný server koupený před měsícem má novější firmware, než jaký je k dispozici na stránkách SuperMicra.
    to je bohužel něco čím mě supermicro neuvěřitelně se.e. Na stránkách s firmwary je neuvěřitelný bordel, zjevně existují novější verze než jaké mají ke stažení a dostat to z nich nejde.. ani přes abacus ani napřímo..

    se starýma deskama máme s IPMI moduly hrozné problémy a prakticky to řešit nejde :(

    Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?
    26.6.2014 15:40 Lubos Kopecky | skóre: 32
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Kdyz vis, jaky fw po nich chces a jaky problem ti vyresi, tak ti ho jsou schopni poslat, i kdyz neni nikde oficialne prezentovan - ja z nich takto fw dostal.
    Nikola Ciprich avatar 26.6.2014 17:09 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    no já jsem to věděl přesně, a dostal jsem jen info že jediné co je k dispozici je to co je na FTP a že je to už nepodporovaná deska :-(
    Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?
    24.6.2014 16:08 8an | skóre: 30
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Mimochodem, zkusil bych dotaz na Abacus. Netuším proč, ale výše zmíněný server koupený před měsícem má novější firmware, než jaký je k dispozici na stránkách SuperMicra. Takže pokud bych byl majitelem takovéto desky, asi bych se zkusil poptat, jestli není k dispozici neoficiální opravená verze a pokud je, proč ji nenabízejí ke stažení.
    Tak už jsem zjistil proč: verze 3.x neumí převzít konfiguraci z verze 2.x (když necháte zaškrtnuté "Preserve configuration", tak IPMI po aktualizaci nenaběhne).
    If you build an operating system that even an idiot can use, only idiots will use it.
    24.6.2014 11:20 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Jenom bych upozornil na problem s certifikaty pod vlastni CA po upgrade firmware na X8 rade.
    S 2.43 nam certifikaty fungovaly bez problemu, ale s 3.13 je potreba jim propasovat do certifikatu retezec "OK". Ja ho nacpal do OU.
    Viz detaily.
    24.6.2014 13:49 Michys
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Dá se tomu zamezit pouhým updatem IPMI firmwaru na verzi 3.x. Toto je oficiální vyjádření Supermicro.
    Bedňa avatar 24.6.2014 22:48 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Je to smutné, ale čo vedie autorov hocičoho ukladať heslá v plaintext? Vidím to len ako zámer, nijaký iný dôvod nepoznám.

    Dáš NSA dieru a tá to vyskúša na všetky tvoje kontá.
    KERNEL ULTRAS video channel >>>
    24.6.2014 23:19 R
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Vyvojari firmwaru su radi, ked im to nejako zacne fungovat. V tom momente manazer vyhlasi, ze to ide do predaja.
    25.6.2014 10:52 Yenya
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    No a je tady někdo, kdo má IPMI volně vystavené do Internetu, bez nějakého firewallu před ním? Stejně to obvykle bývá na nějaké samostatné mgmt VLAN, kam se nedá zvenku úplně dobře dostat.

    Ostatně, podobný problém mají například u SGI - na jejich administrativní rozhraní u některých serverů se dá přihlásit přes ssh s uživatelem root bez hesla, a to heslo nejde nijak nastavit/změnit.

    Tenhle typ problémů asi nikdo seriózně neřeší.

    -Yenya, http://www.fi.muni.cz/~kas/blog/
    Max avatar 25.6.2014 11:46 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Znám člověka, co poskytuje hosting (VPS i server) pro enterprise, má venku vystrčené úplně vše, jak IPMI, tak ESXi, tak management switchů atd. Resp. v relativně nedávné době to tak ještě bylo a nedělám si iluze, že došlo ke změně.
    Zdar Max
    Měl jsem sen ... :(
    Nikola Ciprich avatar 25.6.2014 11:49 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    problém je když máte někde jen jeden box (který třeba sám funguje jako firewall), tak prostě ten modul na veřejnou adresu dát musíte. A starší moduly svůj firewall snad nemají.

    je to bída no :(
    Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?
    25.6.2014 12:01 R
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Presne tento problem som nedavno riesil. "Vyriesil" som to zatial tak, ze som management (v tomto pripade ILO) nezapojil vobec...
    25.6.2014 12:37 frr | skóre: 34
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Před lety, tuším v dobách IPMI 2.0 nebo 3.0, jsem dospěl k názoru, že IPMI
    1. smrdí od hlavy, tzn. od Intelu (jak standard, tak intelí referenční implementace) - protokol Serial Over LAN jede nad UDP bez retransmisí a bugy v intelích "doprovodných toolech okolo BIOSu" jsou často nad moje síly
    2. snad s výjimkou správy serverů v dokonale stabilní LAN (= bez ztráty paketů) není vůbec použitelné, protože se ztrátou UDP paketu se neumí vyrovnat. Tzn. zapomeňte na IPMI over WAN/VPN
    3. snažit se nalézt průchozí cestičku v této bažině je slepá ulička a ztráta času, což zjistíte po několika dnech pečlivé detektivní činnosti (= najít verze BMC firmwaru a klientských toolů, aspoň trochu funkční konfiguraci parametrů BMC v hostitelském BIOSu apod. - zejm. na motherboardech kde IPMI parazituje na některé "hlavní" LANce, nakonec to stejně celé pseudonáhodně hnije vlivem pořadí jednotlivých kroků, fáze měsíce a bůhví čeho ještě)
    Možná se za poslední 4 roky něco změnilo...
    [:wq]
    25.6.2014 12:52 8an | skóre: 30
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Mě se v těchto dobách (~2005) na nějakém IBM serveru nepovedlo rozběhat SOL ani po LAN. Už tehdy ale měly použitelný remote management servery od Sunu – na sériák se dalo připojit přes SSH, přes webové rozhraní se dal server restartovat a dokonce i flashovat BIOS, bylo tam i jakési KVM v Javě... Dnes už tohle konečně mají všechny servery, ale je pravda, že spíš navzdory Intelu než jeho zásluhou.
    If you build an operating system that even an idiot can use, only idiots will use it.
    25.6.2014 12:54 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Já před pár lety dospěl k názoru, že
    1. radši zjistím, jak používat IPMI, než abych musel jezdit do serverovny
    2. OpenVPN je dostatečná na to, aby se dala používat vzdálená konzole
    3. programátoři firmware jsou do jednoho totálně nekompetentní na cracku závislé cvičené opice
    Quando omni flunkus moritati
    25.6.2014 14:11 Radek Hladik | skóre: 20
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    Praveze u tech supermikro desek je to KVM pomerne slusne pouzitelne a de facto v cene (pri srovnani s obdobnymi deskami). Ve srovnani s temi puvodnimi IPMI je to nebe a dudy...
    25.6.2014 13:40 R
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    To "parazitujuce" IPMI som tiez nikdy nerozchodil... Odvtedy plati, ze do kazdeho doleziteho servera sa kupuje DRAC.
    Nikola Ciprich avatar 25.6.2014 14:02 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
    Rozbalit Rozbalit vše Re: Zranitelnost serverů Supermicro
    na nových serverech (mluvím stále o supermicro) je to už celkem slušně použitelné. problém jsou ty staré, tam jsem ve stavu že asi zlomím hůl...
    Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.