Серверное администрирование *

В конце прошлой недели HP опубликовала патч прошивки своих твердотельных накопителей HPE, который решает критическую проблему потери данных и отказа диска после 32768 часов (~3 года и 9 месяцев) работы.

Речь идет о накопителях HPE SAS SSD с прошивками вплоть до версии HPD8. Проблема касается 20 моделей SSD, которые, например, поставляются вместе с серверами и хранилищами HPE ProLiant, Synergy, Apollo, JBOD D3xxx, D6xxx, D8xxx, MSA, StoreVirtual 4335 и StoreVirtual 3200.

Пока патч был опубликован только для части проблемных устройств. Остальные прошивки ожидаются 9 декабря.

По данным сервиса Downdetector, в работе мессенджера Telegram произошел сбой, проблемы с доступом к сервису наблюдались у пользователей в России, республике Беларусь и Украины.

Пользователи из других стран, таких как Германия, Ирландия, Великобритания, Польша, Италия, Нидерланды, США и Индия, также жаловались на проблемы, почти у всех наблюдались сильные задержки в отправке сообщений и подгрузке содержимого каналов.

Пользователи в Белоруссии сообщили о том, что некоторые защищенные почтовые сервисы, в том числе ProtonMail, оказались недоступны. Кроме того, недоступен VPN-провайдер ProtonVPN.
ProtonMail известен тем, что его использовали при сообщениях о минировании ряда объектов в Минске.

Исследователи из Вустерского политехнический института США, Любекского университета Германии и Калифорнийского университета в Сан-Диего выявили две уязвимости в TPM-процессорах. Проблемы под общим названием TPM-FAIL делали возможным для злоумышленников похищать хранящиеся в процессорах криптографические ключи.

Уязвимость CVE-2019-11090 затрагивает технологию Intel Platform Trust (PTT). Данное программное TPM-решение от Intel fTPM применяется в серверах, ПК и ноутбуках. Его используют большинство производителей компьютеров, включая Dell, HP и Lenovo. Также Intel fTPM широко используется в семействе продуктов Intel Internet of Things (IoT) для промышленности, здравоохранения и транспортных средств.

Другая уязвимость CVE-2019-16863 затрагивает чип ST33 TPM производства STMicroelectronics, который применяется на устройствах начиная от сетевого оборудования и заканчивая облачными серверами. Он является одним из немногих процессоров с классификацией CommonCriteria (CC) EAL 4+, то есть поставляется со встроенной защитой против атак по сторонним каналам.

Компания Intel разослала на этой неделе (13 ноября 2019 года) всем своим авторизованным дистрибьюторам, которые уже продали покупателям или имеют на своих складах боксовую версию процессора Xeon E-2274G, уведомление PCN 117255-00. Согласно тексту этого документа, боксовый комплект поставки Xeon E-2274G оснащался неподходящей системой охлаждения, из-за которой процессор фактически может перегреваться под нагрузкой.

В Intel планируют изъять из продажи все запасы коробочных (BOX-версия) процессоров Xeon E-2274G, а вместо них будут поставлены такие же процессоры, но уже без кулера в комплекте (OEM или TRAY-версия поставки), которые конечным покупателям нужно будет использовать с подходящей сторонней системой охлаждения. Хотя многие из клиентов покупали этот продукт именно со штатным кулером в поставке, чтобы не тратиться на то, что теперь им бескомпромиссно предлагает Intel.

В OpenSSH добавлена экспериментальная функция двухфакторной аутентификации с помощью дешевых решений вида USB, Bluetooth или NFC-носителей. Соответствующая информация и детальное руководство опубликованы на marc.info.

Теперь OpenSSH имеет экспериментальную поддержку поддержку U2F / FIDO, а U2F добавлен как новый тип ключа "sk-ecdsa-sha2-nistp256@openssh.com" или сокращенно «ecdsa-sk» («sk» означает «ключ безопасности»).

Если ранее вы не сталкивались с U2F, то это — открытый стандарт для создания недорогих аппаратных решений в области security-токенов. Фактически, это самый дешевый способ для пользователей для получения аппаратных ключей, а на рынке достаточно продавцов. Например, токены можно купить у Yubico, Feitian, Thetis и Kensington. Аппаратные ключи дают преимущество в плане взлома: их надо физически украсть, что невозможно для большинства взломщиков.

При это токены — недорогие устройства, стоимость многих редко достигает сотни евро, то есть это сравнительно дешевый и надежный способ для того, чтобы обезопасить систему.

Эксперты обнаружили в ветке PHP 7 уязвимость CVE-2019-11043, которая позволяет хакерам выполнять команды на сервере с помощью специально сформированного URL с добавлением '?a='.

Данный баг активно применяется при атаках, так как его просто эксплуатировать. Проблему усугубило то, что в октябре на GitHub появился PoC-код для определения уязвимых серверов. Он отправляет специально сформированные запросы, чтобы выяснить, уязвим ли тот или иной сервер. При этом атаки возможны только в отношении NGINX-серверов с включенным PHP-FPM (программным пакетом для обработки скриптов на языке PHP).

Популярный VPN-провайдер NordVPN, который обещает «защитить вашу конфиденциальность в интернете», подтвердил факт взлома внутренней сети больше года назад. Компания призналась в этом после появления слухов, а затем неопровержимых доказательств: на 8chan выложили секретный ключ шифрования NordVPN с истёкшим сроком действия (копия в Web Archive) и логи рутового доступа к NordVPN. Теоретически, с таким ключом кто угодно может поднять свой сервер NordVPN.

Представители NordVPN пояснили, что взлом произошёл в марте 2018 года: «Произошёл несанкционированный доступ в один из центров обработки данных в Финляндии, где мы арендуем серверы», — сказала представитель NordVPN Лаура Тирелл (Laura Tyrell).

Компания узнала о нарушении «несколько месяцев назад», но до сегодняшнего дня не раскрывала информацию, потому что «хотела быть на 100% уверенной, что каждый компонент в нашей инфраструктуре безопасен».

Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.

Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие DoS-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.

Исследователи компании Bitdefender сообщили о новой аппаратной уязвимости, позволяющей обойти механизмы защиты от Spectre и Meltdown и получить доступ к данным в защищенной памяти ядра. Проблема затрагивает все ноутбуки, сервера и персональные компьютеры с Windows на процессорах от Intel (а возможно и AMD), выпущенных с 2012 года.

Кадр из фильма Мстители: Война бесконечности

По сообщению пользователя dobrovolskiy 15 мая 2019 года в результате человеческой ошибки Яндекс удалил часть виртуальных машин в своем облаке.

Пользователь получил письмо от техподдержки Яндекса с таким текстом:

Сегодня мы проводили технические работы в Яндекс.Облаке. К сожалению, из-за человеческого фактора были удалены виртуальные машины пользователей в зоне ru-central1-c, которые хоть раз находились в статусе SUSPENDED. Мы сразу заметили ошибку и остановили удаление. Увы, некоторые ВМ и их boot-диски были удалены.

В результате пользователем были полностью потеряны некоторые продакшн-сервера. Бекапы у пострадавшего были, но часть данных всё равно утрачена безвозвратно. Обычно Яндекс компенсирует даун-тайм своих сервисов, согласно своей политике, но кто компенсирует потерю данных?

UPD Яндекс официально подтвердил инцидент и прокомментировал ситуацию.

Материснкая плата SynQuacer E-Series для 24-ядерного ARM-сервера

Серверные процессоры на базе ARM давно угрожают позициям Intel в дата-центрах, но пока это лишь теоретическая угроза. До сих пор она не слишком реализовалась, если посмотреть на реальные случаи крупномасштабных развёртываний ARM-серверов. Таких просто нет. Однако новое поколение недорогих ARM-серверов может изменить ситуацию.

Например, компания SinoVoIP недавно представила 24-ядерный ARM-сервер на платформе Banana Pi.

ProcDump для Linux — реинкарнация классического инструмента ProcDump из комплекта технических средств и утилиты для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.

Одним из ограничений бесплатного центра сертификации Let's Encrypt является то, что он не выдаёт сертификаты типа wildcard на поддомены (см. «Полное руководство по переходу с HTTP на HTTPS»). Такие сертификаты покрывают основной домен, а также неограниченное количество поддоменов (*.example.com ) — например, example.com, www.example.com, mail.example.com, ftp.example.com и т. д. Некоторые центры сертификации продают такие сертификаты от $475 в год. Let's Encrypt будет выдавать их бесплатно.

Сервис Let's Encrypt предоставляется организацией Internet Security Research Group (ISRG). Вчера она сообщила приятную новость: wildcard-сертификаты начнут выдавать с января 2018 года! Такие сертификаты были одной из самых запрашиваемых фич, о которой упоминали пользователи. И в самом деле, пользоваться подстановочными знаками (*.example.com) в некоторых случаях гораздо удобнее, чем перечислять каждый домен в отдельности, что разрешают стандартные DV-сертификаты Let's Encrypt. В некоторых случаях это упрощает переход на HTTPS, а ведь всеобщий переход на шифрование — и есть главная цель проекта Let's Encrypt, который действует для общественного блага и живёт на пожертвования. В конечном итоге, 100% веба должно быть зашифровано нашими совместными усилиями.

Самые популярные веб-серверы в разных странах. Источник: W3Tech.com

Казалось бы, совсем недавно в 2012 году мы праздновали, что веб-сервер nginx обогнал Microsoft IIS и вышел на второе место в интернете среди активных сайтов (у nginx было 12,18%, у Microsoft — 12,14%). За прошедшие пять лет nginx сильно укрепил позиции. По статистике Netcraft за март 2017 года в той же категории его доля составляет 19,67%, а Microsoft IIS опустился до 8,95%. Лидер прежний — Apache с 45,82%.

Nginx был единственным веб-сервером, доля которого выросла во всех метриках Netcraft в марте 2017 года. Это был единственный веб-сервер, доля которого стабильно росла.

GitHub обслуживает миллиарды HTTP, Git и SSH-соединений ежедневно. Для улучшения производительности в компании начали использовать «голое железо», то есть компьютеры без дополнительных уровней виртуализации. Однако исторически сложилось, что более сложным для оптимизации является сетевая балансировка нагрузки.

Для этого в GitHub использовали вертикальное масштабирование с запуском малого количества больших машин и haproxy. Кроме того, была установлена специфическая аппаратная конфигурация, обеспечивающая отказоустойчивость 10G-линков.

В итоге инженеры GitHub поняли, что понадобится создать собственное решение, которое будет работать для индивидуальных нужд ресурса.