HPE ILO 4: Kritische Sicherheitslücke

[zahni 254]

Hi,

 

in der der ILO4-Firmware kleiner 2.53 gibt es eine kritische Sicherheitslücke:

 

"The vulnerability could be exploited remotely to allow authentication bypass and execution of code"

 

http://h20565.www2.hpe.com/hpsc/doc/public/display?docId=hpesbhf03769en_us

 

 

Happy Pätching. 

 

-Zahni

[Nobbyaushb 536]

Moin,

danke für den Hinweis - prüfen gerade unsere HP´s.

 

;)

[zahni 254]

Warnung:  

 

Ich habe gerade per ILO-Web-GUI auf 2. Servern die 2.54 (Update von 2.50) eingespielt. Der 1. Server (Standalone) brauchte einen Brutal-Reset, damit ILO neu startet. Allerdings: Konfig weg, ich kann mich nicht mehr anmelden.

2. Server Blade: Kam wieder, Konfig ist aber auch weg. keine Lizenz mehr drauf, User fehlt, Anmeldung nur über OBA-Möglich.

 

BTW: Ich könnte HPE mal wieder... Angeblich behobene Fehler in 2.54:

• Resolved an issue where in some cases iLO configuration data could be reset to default values after an iLO firmware upgrade (only affects Gen8 servers).
• Improved the mechanism to reset communication to the non-volatile storage (NAND) upon a warm reboot of the server (to reset an inaccessible NAND)
• NOTE: If the NAND is inaccessible when upgrading to iLO 4 2.54 firmware, an AC power pull may be necessary to reset an inaccessible NAND.

Nichts ist behoben... ;)

Edited August 24, 2017 by zahni

[br2049 0]

Ich könnte HPE mal wieder...

 

Warum beauftragst du nicht jemanden mit so nervigen Kleinzeug? Warum kaufst Du nicht bei anderem Hersteller?

[zahni 254]

Kleine Anmerkung:

 

ILO4  vor  dem Update resetten. Ich tippe  mal auf eine "low memory condition"  beim Update. Eventuell ist man auch von dem Problem betroffen:

 

http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04996097

 

(darauf  achten, dass  die englische Version kommt. Die  deutsche  Version ist  veraltet).

[c0smic 10]

Hallo zusammen,

ich habe mir nun den halben Vormittag einen Wolf gesucht, um die iLO-Updates zu finden.

iLO4 habe ich gefunden und auch schon erfolgreich aktualisiert, ohne Probleme.

 

Allerdings, und das ist neu, sind laut HPE auch iLO2 und iLO3 betroffen.

Siehe hier: http://h20566.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbhf03705en_us&hprpt_id=HPGL_ALERTS_1980509&jumpid=em_alerts_us-us_Aug17_xbu_all_all_1191512_1980509_EnterpriseSoftwareMoonshotSystems_critical__/

 

Könnte mir jemand mit entsprechenden Links für iLO2 und iLO3 auf die Sprünge helfen? Die HPE-Seite ist eine Katastrophe, und meine Blutdrucktabletten werden knapp.

 

Danke und Gruß

Sandro

[zahni 254]

Das ist wohl noch eine andere Sicherheitslücke.

 

Die ILO-FW findest  Du am schnellsten, wenn Du bei Google z.B. "hpe ilo3 firmware" eingibst.

Alternativ: Auf  der HPE-Support Seite den passenden Server auswählen, z.B. BL460G7, auf  Downloads klicken, Englisch  auswählen und dann das neuste Windows.

DIe ILO-FW gibt es unter "Firmware - LOM (Lights-Out Management)". Allerdings scheint es keine 1.89 zu geben. Ist entweder noch nicht da oder kommentarlos wieder zurückgezogen worden. Macht HPE bei Fehlern gern mal.

An das BIN-File kommt man, wenn man die EXE entpackt. Mit Winzip oder TotalCommander (STRG + Bild runter).