• «Clock Signal Component Issue» или снова массовый брак в устройствах Cisco

      Несколько лет назад JDima писал про брак у одного из поставщиков памяти для сетевых устройств Cisco, приводивший к их ранней кончине.

      Сейчас обнаружилась проблема с компонентом тактового генератора (Clock Signal Component), который может преждевременно выйти из строя после 18 месяцев эксплуатации и устройство перестанет загружаться.

      Проблема затронула:


      При наличии гарантии или контракта, действовавших на 16 ноября 2016 года, можно обратиться в TAC для проактивной замены устройства, приоритет будет отдаваться устройствам с большей наработкой. Подробное описание и FAQ: Clock Signal Component Issue
      Читать дальше →
      • +12
      • 5,6k
      • 8
    • Осторожно: HSTS

        Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

        TL;DR
        Тщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов и управляемый разными людьми.

        Что такое HSTS?


        HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

        Динамические


        Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

        Strict-Transport-Security: max-age=15768000; includeSubDomains;

        Статические


        Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

        Список из Chromium используют все популярные браузеры (Firefox, Safari и IE 11+Edge) и добавить в него сайт может любой желающий, если веб-сервер отдаёт заголовок Strict-Transport-Security со сроком действия от двух лет и ключевым словом preload в конце:

        Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
        Читать дальше →
      • Неожиданная особенность проверки сертификатов в Windows

          Немного затянул с публикацией, но лучше поздно чем никогда. В начале рабочей недели появились задержки при подключении по RDP ко всем компьютерам, оно подвисало на несколько секунд в стадии «Securing remote connection...», которая отвечает за установку шифрованного канала для безопасной передачи реквизитов.

          TL;DR
          При истечении срока действия CTL и недоступности ctldl.windowsupdate.com возможны задержки при установке SSL-соединений, старайтесь этого избегать.

          Так как для RDS используются сертификаты от внутреннего CA и уже когда-то забыв обновить CRL корневого офлайнового CA решил проверить его здоровье в pkiview.msc.

          Оснастка показала, что всё OK, но напротив обоих CA несколько секунд держался статус Verifying, что странно, так как все данные для проверки доступны внутри домена через LDAP и HTTP. Проверка через certutil -verify также подвисала на 10-15 секунд в стадии CERT_CHAIN_POLICY_BASE, причем с любыми сертификатами — не только от внутренних, но и от внешних CA (StartCom, Comodo и т.д.).
          Читать дальше →
        • KB3145126 для Windows Server 2008 R2 ломает DNS-сервер

            Никогда не было, и вот опять Microsoft выпустили непротестированное обновление с критическим багом.

            На этот раз пострадал DNS-сервер из состава Windows Server 2008 R2, который падает и больше не поднимается после установки KB3145126 из майского Patch Tuesday, а в журнале событий появляются сообщений вида:
            Faulting application name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
            Faulting module name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
            Exception code: 0xc0000005

            Лечится удалением этого патча командой wusa.exe /uninstall /kb:3145126 с последующей перегрузкой.

            Update: Проблема оказалась в использовании CNAME для корневых записей "@" в конфигурации DNS-зон. Определить такие настройки поможет скрипт из KB2647170, который надо запускать при работающей службе DNS Server. Некорректные записи можно исправить в оснастке dnsmgmt.msc или удалить командой «DNSCMD /recorddelete DNS <имя зоны> @ cname» перед установкой KB3145126.
            Читать дальше →
          • Критическая уязвимость в Cisco ASA

              В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.

              Технический обзор и примеры эксплуатации:
              blog.exodusintel.com/2016/02/10/firewall-hacking
              Читать дальше →
            • Дистрибутивы, обновления и errata для Oracle Linux теперь доступны бесплатно

                Вместе с заявлением о сертификации некоторых своих приложений на платформе RHEL 6 и Oracle Linux 6, корпорация Oracle объявила об о том, что с текущего момента дистрибутивы, обновления и errata для Oracle Linux доступны бесплатно, в том числе для использования в производственной среде.

                Oracle Linux собирается из исходных кодов RHEL и полностью с ним совместим, важными преимуществами перед CentOS и Scientific Linux является поддержка со стороны производителей железа и сроки выхода обновлений, которые выпускают практически одновременно с Red Hat.
                Раньше для оперативного получения обновлений, вы должны были иметь действующий контракт на поддержку, стоивший $119 в год у Oracle либо от $349 в год у Red Hat (2 сокета, с ограничением на 1 гостевую систему).

                Читать дальше →
              • Официально представлены процессоры Xeon E5 и серверы на них от крупнейших производителей

                  6 марта 2012 года корпорация Intel официально представила процессоры Xeon E5-2600 и E5-1600, заменяющие Xeon 5600. В новых моделях увеличено количество ядер до 8 и объем поддерживаемой оперативной памяти составляет 384 ГБ на процессор при использовании модулей LRDIMM. Главное отличие E5-1600 от E5-2600 заключается в отсутствии поддержки многопроцессорных конфигураций у младшей серии.

                  В новую линейку на архитектуре Sandy Bridge-EP вошли 29 моделей от 2 до 8 ядер, частотой от 1.8 до 3.6 ГГц и TDP от 60 до 150 Вт:
                  Читать дальше →
                • Пополнение в линейке ASA

                    27 февраля 2012 на конференции RSA Conference, Cisco Systems анонсировала обновление линейки межсетевых экранов Cisco ASA, её дополнят 5 новых моделей: 5512-X, 5515-X, 5525-X, 5545-X и 5555-X.

                    В качестве основных нововведений, заявляется:
                    • Четырёхкратный рост производительности, пропускная способность МСЭ составляет 1 — 4 Гбит/с, 250 Мбит/с — 1,3 Гбит/с для IPS и 200 — 700 Мбит/с для VPN
                    • Монолитное шасси, включающее модули ускорения и расширения — дополнительные функции активируются программным ключем
                    • Переход на 64-разрядную архитектуру с оптимизацией под многоядерные процессоры и возможностью запуска дополнительных сервисов в будущем с помощью обновления ПО

                    Дата прекращения поддержи текущих моделей (ASA 5505, 5510, 5520, 5540 и 5550) не сообщается.
                    Читать дальше →