• «Clock Signal Component Issue» или снова массовый брак в устройствах Cisco

      Несколько лет назад JDima писал про брак у одного из поставщиков памяти для сетевых устройств Cisco, приводивший к их ранней кончине.

      Сейчас обнаружилась проблема с компонентом тактового генератора (Clock Signal Component), который может преждевременно выйти из строя после 18 месяцев эксплуатации и устройство перестанет загружаться.

      Проблема затронула:


      При наличии гарантии или контракта, действовавших на 16 ноября 2016 года, можно обратиться в TAC для проактивной замены устройства, приоритет будет отдаваться устройствам с большей наработкой. Подробное описание и FAQ: Clock Signal Component Issue
      Читать дальше →
    • Осторожно: HSTS

        Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

        TL;DR
        Тщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов и управляемый разными людьми.

        Что такое HSTS?


        HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

        Динамические


        Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

        Strict-Transport-Security: max-age=15768000; includeSubDomains;

        Статические


        Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

        Список из Chromium используют все популярные браузеры (Firefox, Safari и IE 11+Edge) и добавить в него сайт может любой желающий, если веб-сервер отдаёт заголовок Strict-Transport-Security со сроком действия от двух лет и ключевым словом preload в конце:

        Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
        Читать дальше →
      • Неожиданная особенность проверки сертификатов в Windows

          Немного затянул с публикацией, но лучше поздно чем никогда. В начале рабочей недели появились задержки при подключении по RDP ко всем компьютерам, оно подвисало на несколько секунд в стадии «Securing remote connection...», которая отвечает за установку шифрованного канала для безопасной передачи реквизитов.

          TL;DR
          При истечении срока действия CTL и недоступности ctldl.windowsupdate.com возможны задержки при установке SSL-соединений, старайтесь этого избегать.

          Так как для RDS используются сертификаты от внутреннего CA и уже когда-то забыв обновить CRL корневого офлайнового CA решил проверить его здоровье в pkiview.msc.

          Оснастка показала, что всё OK, но напротив обоих CA несколько секунд держался статус Verifying, что странно, так как все данные для проверки доступны внутри домена через LDAP и HTTP. Проверка через certutil -verify также подвисала на 10-15 секунд в стадии CERT_CHAIN_POLICY_BASE, причем с любыми сертификатами — не только от внутренних, но и от внешних CA (StartCom, Comodo и т.д.).
          Читать дальше →
        • KB3145126 для Windows Server 2008 R2 ломает DNS-сервер

            Никогда не было, и вот опять Microsoft выпустили непротестированное обновление с критическим багом.

            На этот раз пострадал DNS-сервер из состава Windows Server 2008 R2, который падает и больше не поднимается после установки KB3145126 из майского Patch Tuesday, а в журнале событий появляются сообщений вида:
            Faulting application name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
            Faulting module name: dns.exe, version: 6.1.7601.23375, time stamp: 0x56e06454
            Exception code: 0xc0000005

            Лечится удалением этого патча командой wusa.exe /uninstall /kb:3145126 с последующей перегрузкой.

            Update: Проблема оказалась в использовании CNAME для корневых записей "@" в конфигурации DNS-зон. Определить такие настройки поможет скрипт из KB2647170, который надо запускать при работающей службе DNS Server. Некорректные записи можно исправить в оснастке dnsmgmt.msc или удалить командой «DNSCMD /recorddelete DNS <имя зоны> @ cname» перед установкой KB3145126.
            Читать дальше →
          • Критическая уязвимость в Cisco ASA

              В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016-1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом. Ей присвоен наивысший уровень опасности.

              Технический обзор и примеры эксплуатации:
              blog.exodusintel.com/2016/02/10/firewall-hacking
              Читать дальше →
            • Windows 8 RTM выйдет в первую неделю августа!

                На международной конференции для партнёров было объявлено, что финальная (RTM) версия Windows 8 станет доступна в первую неделю августа. Доступ к ней получат партнёры, клиенты с действующим контрактом Software Assurance, а также разработчики и специалисты с подписками MSDN/TechNet.
                Вместе с выходом RTM, у разработчиков появится возможность размещать платные приложения в Windows Store.

                Для конечных пользователей операционная система будет доступна с октября. Владельцы предыдущих версий Windows смогут обновиться за $40, а купившие Windows 7 после второго июня 2012 всего за $15.
              • Windows 8 Release Preview в первую неделю июня

                  В рамках конференции Windows Developer Days в Японии корпорация Microsoft официально анонсировала выход Windows 8 Release Preview в первой неделе июня.
                  В привычной классификации Release Preview является релиз кандидатом, который включит весь функционал финальной версии, а также исправления, внесённые с момента выхода Consumer Preview в марте.
                  Читать дальше →
                • Дистрибутивы, обновления и errata для Oracle Linux теперь доступны бесплатно

                    Вместе с заявлением о сертификации некоторых своих приложений на платформе RHEL 6 и Oracle Linux 6, корпорация Oracle объявила об о том, что с текущего момента дистрибутивы, обновления и errata для Oracle Linux доступны бесплатно, в том числе для использования в производственной среде.

                    Oracle Linux собирается из исходных кодов RHEL и полностью с ним совместим, важными преимуществами перед CentOS и Scientific Linux является поддержка со стороны производителей железа и сроки выхода обновлений, которые выпускают практически одновременно с Red Hat.
                    Раньше для оперативного получения обновлений, вы должны были иметь действующий контракт на поддержку, стоивший $119 в год у Oracle либо от $349 в год у Red Hat (2 сокета, с ограничением на 1 гостевую систему).

                    Читать дальше →
                  • Официально представлены процессоры Xeon E5 и серверы на них от крупнейших производителей

                      6 марта 2012 года корпорация Intel официально представила процессоры Xeon E5-2600 и E5-1600, заменяющие Xeon 5600. В новых моделях увеличено количество ядер до 8 и объем поддерживаемой оперативной памяти составляет 384 ГБ на процессор при использовании модулей LRDIMM. Главное отличие E5-1600 от E5-2600 заключается в отсутствии поддержки многопроцессорных конфигураций у младшей серии.

                      В новую линейку на архитектуре Sandy Bridge-EP вошли 29 моделей от 2 до 8 ядер, частотой от 1.8 до 3.6 ГГц и TDP от 60 до 150 Вт:
                      Читать дальше →
                    • Пополнение в линейке ASA

                        27 февраля 2012 на конференции RSA Conference, Cisco Systems анонсировала обновление линейки межсетевых экранов Cisco ASA, её дополнят 5 новых моделей: 5512-X, 5515-X, 5525-X, 5545-X и 5555-X.

                        В качестве основных нововведений, заявляется:
                        • Четырёхкратный рост производительности, пропускная способность МСЭ составляет 1 — 4 Гбит/с, 250 Мбит/с — 1,3 Гбит/с для IPS и 200 — 700 Мбит/с для VPN
                        • Монолитное шасси, включающее модули ускорения и расширения — дополнительные функции активируются программным ключем
                        • Переход на 64-разрядную архитектуру с оптимизацией под многоядерные процессоры и возможностью запуска дополнительных сервисов в будущем с помощью обновления ПО

                        Дата прекращения поддержи текущих моделей (ASA 5505, 5510, 5520, 5540 и 5550) не сообщается.
                        Читать дальше →
                      • Открыт предзаказ на µTorrent Plus

                          Несколько часов назад пришло письмо, сообщающее об открытии предзаказа на µTorrent Plus, из основных отличий от бесплатной версии, заявлено следующее:

                          1) Встроенный антивирус
                          2) Медиаплеер
                          3) Конвертер для Android, Apple, PS3 и прочих устройств
                          4) Удалённое управление клиентом

                          Цена составляет $24.95 в год, для предзаказчиков предлагается скидка в $5. Немного удивила премодерация заказов — после заполнения формы, выдаётся номер заказа с пометкой о том, что он будет проверен в течении 24 часов.
                        • Почтовые ящики для стандартных сервисов, ролей и функций

                            Недавно столкнулся с неприятной ситуацией — почтовый сервер попал в спам-листы. Дыру быстро нашли и залатали, но компания Oracle уже занесла наш сервер в свой черный список, причем блокировали нас ещё на стадии соединения.
                            Возник вопрос — куда писать? На сайте была только форма для клиентов, support@oracle.com предназначался для них же.
                            После недолгих раздумий, появилась мысль — а нет ли стандарта, определяющего почтовые адреса по которым надо писать в таком случае? Оказалось, что есть и описан он в RFC 2142.

                            Самое интересное содержится в таблицах, которые приведены ниже.
                            Читать дальше →
                          • Особенности использования клавиатуры Apple под Windows

                              Клавиатура от Apple была приобретена для использования с хакинтошем, но с OS X в тот момент не срослось и основной системой для меня осталась Windows. Но не все так просто, как оказалось, работа под Windows собпряжена с несколькими проблемами:
                              1) Для вызова клавиш F2-F12, требется зажатие модификатора (Fn).
                              2) Раскладка на клавиатуре не совпадает с системной (коды клавиш используются стандартные).
                              3) Некоторые клавиши в принципе не работали (например, PrintScreen).

                              Установка Boot Camp решала первую проблему и даже клавиша выброса диска заработала, но появились неприятные фризы при старте системы и проблему раскладки она не решала. После недолгих копаний, был найден ключ реестра, отвечающий за работу функциональных клавиш и программа, позволяющая редактировать раскладки.
                              Результатом этого стал данный установщик, в котором содержится:
                              • Драйвер от Apple из дистрибутива Mac OS X Leopard 10.5.4
                              • Файл реестра, изменяющий параметр, ответсвенный за клавиши F2-F12
                              • Установщики раскладок клавиатуры (для русского и английского языков)

                              Продолжение под катом