システムへの侵入という観点からすると、iLO 2にとってHeartbleedは怖いものではありませんが、この脆弱性(または悪用の試み)の一部のスキャナーは、Hewlett PackardサーバーからiLO 2インターフェイスを厳密に切断します。
4月11日金曜日、こうして、第2世代のiLOモジュールを備えた300台のサーバーへのアクセスを失いました(これらはホスティングサーバーであるため、iLOインターフェイスは公開されています)。
サーバーの大部分はブレードサーバーですが、いくつかのDLサーバーも配布対象になりました。
iLO 3、SuperMicro IPMI、または近隣のIPアドレス上の他の何も影響を受けませんでした。
症状
1)iLO 2 v.2.23の最新バージョンは脆弱です。
2)iLO 2の前にPINGも消えます。
3)バスケット(Onboard Administrator)はサーバーの表示を停止し、そのタイプを知らず、現在の状態を知らず、余裕を持って電力を割り当てます(注意!動的消費電力上限が有効な場合、この瞬間に多数のサーバーがシャットダウンする可能性があります)。
4)奇妙なことに、DLサーバー上のiLO 2はPINGに応答し続けましたが、これはサーバーから達成できる最大値です。
5)OSを使用してサーバーを再起動すると、ロードにつながりません。 (明らかに)彼はコンポーネントの起動時の診断にこだわっています。
6)定期的なシャットダウンは役に立たない-サーバーはもちろん詰まっていますが、iLO 2は機能しません。
7)実行中のサーバーの内部から(OSから)、iLO 2モジュールとの再起動またはチャット(hponcfgなどを介して)が不可能な場合、モジュールは応答しません。
8)状況は、DLサーバーから電源を完全に切断することによってのみ管理されます(マネージドPDUまたは手動で)。または、Onboard Administratorを介してreset server XXコマンドを使用するブレードサーバーの場合は少し便利です(実際には同じ効果があります)。
9)コールドリスタートも役に立ちません。
最も不快なことは、負荷の高いブレードバスケットの場合、OAモジュールはサーバーとの接続を失い、電力要件を認識せず、意図的に大きな値(実際の消費量の2〜3倍)を割り当て始めることです。 これは、OAが十分な電力がないと見なし、一部のサーバーを削減(または開始を防止)できるという事実につながります。 少なくともこれは、動的な配電制御を有効にしている場合に当てはまります。
HPはすぐに問題を認識せず、最初はOnboard Administrator(ver。> = 4.11)のみがHeartbleedに対して脆弱であるという事実のみを報告しました。iLOについてはc04239413ですべてがOKであると言われました 。 彼らは "HeartBleed"の影響を受けない表現を使用しました。
はい、システムへの侵入という観点からすると、iLOは脆弱ではありませんが、残念ながら、iLO 2は影響を受けることが判明しました。
HPは、Heartbleedでのスキャンの結果として、iLO 2を切断するという公式の立場はありません。
幸い、月曜日までに、HP Oscar A. Perezの従業員がファームウェア2.25のベータ版に満足し、 テスト用に投稿しました 。
こちらからダウンロードできます。
フライトが正常な間に、影響を受けるサーバーをハードリセットし、ファームウェアを2.25ベータに更新した後。
インターネットからiLO 2が公開されている場合は、サーバーへの接続が失われ、重大な状況で(または単にスケジュールされた再起動後)管理できなくなった場合、少なくとも2.25ベータ版にアップグレードしないでください。
または、パッチが適用されたファームウェアの公式リリースがリリースおよび適用されるまで、iLO 2へのパブリックアクセスを一時的に制限します。
HP iLO 2はHeartbleedに対して脆弱です-私たちは保護され更新されています!
All Articles