Обновляем Firmware BIOS & iLO2 на серверах HP ProLiant DL360/380 G5

imageВ прошлый раз мы рассматривали обновление прошивки Integrated Lights-Out 2 (iLO2) до версии 2.27 на серверах HP ProLiant DL360/380 G5 c Windows Server 2012 R2 с помощью пакета установки, распространяемого через VCRM. В конце сентября и начале октября этого года появились новые версии прошивок iLO2 а также BIOS, относящихся в частности к этому же поколению серверов. Наверно можно было бы пропустить эти обновления "мимо ушей", если бы не степень критичности уязвимостей, которые исправляются этими обновлениями.

Обновление iLO2 до версии 2.29

Относительно iLO информацию о проблемных версиях прошивок можно найти в бюллетене безопасности HP - ID c04486432 - HPSBHF03151 rev.4 - HP Integrated Lights-Out 2 and 4 (iLO 2, iLO 4), Chassis Management (iLO CM) on Proliant, Remote Denial of Service, Execution of Code, Elevation of Privilege. Как видно из этого документа, проблема безопасности распространяется в том числе и на рассмотренную нами в прошлый раз версию прошивки 2.27 для iLO2. Поэтому нам обязательно нужно выполнить обновление прошивки. Причём обновляться нужно не на следующую версию 2.28, которая имеет уже известные проблемы с JRE, описанные в документе ID c04818378 - Advisory: HP Integrated Lights-Out 2 (iLO 2) - Unable to Launch Java Remote Console with Java Runtime Environment (JRE) Versions 7 and 8 when TLSv1.1 and TLSv1.2 Are Enabled. Поэтому обновляться будем сразу на текущую версию 2.29, с момента выхода которой прошло уже достаточно времени.

FIXES:
- The Java IRC will not start when JRE versions 7 or 8 are installed and TLS 1.1/1.2 is enabled.
- Addressed the vulnerability mentioned in CVE-2015-4000 and SSRT102268 (client-side SSL/TLS connections).

Как и раньше, новую версию прошивки можно загрузить с сайта HP по ссылке: http://www.hpe.com/support/ilo2.

По указанной ссылке откроется страница загрузки HP Integrated Lights-Out 2 (iLO 2) Firmware for ProLiant G6 Servers, где выберем любую наиболее подходящую нам ОС, например Microsoft Windows Server 2008 R2 и загрузим установочный пакет версии 2.29 – файл cp027873.exe.

Ранее описанным способом копируем файл в репозитарий VCRM (хотя если ваш VCRM настроен на автоматическое обновление, то такой файл там скорее всего уже есть) и редактируем через несколько минут появляющийся файл cp027873.mnf, добавляя поддержку Windows Server 2012 R2.

 

Обновление BIOS до версии 2015.08.16

Не смотря на то, что фактически поддержка систем HP ProLiant DL360/380 G5 со стороны HP уже давно закончилась, а последнее обновление BIOS было в 2011 году, HP выпустили ряд обновлений прошивок для систем использующих процессоры серий Intel Xeon 5200 и 5400. Как я понял, на конференции по безопасности Black Hat USA 2015 миру была продемонстрирована уязвимость в указанной серии процессоров, после чего уважающие себя производители систем использующих эти процессоры, инициировали обновление прошивок своих материнских плат. Описание к релизу 2015.08.16:

Problems Fixed: 
While HP ProLiant servers using impacted Intel processors are not vulnerable to the specific attack announced publicly at the Blackhat USA 2015 security conference, this BIOS update includes updated microcodes from Intel which prevent the possibility of exploiting the processor vulnerability that make the attack possible with Intel Xeon 5200-series and Intel Xeon 5400-series processors. This Intel processor vulnerability is NOT unique to HP ProLiant servers.

То есть фактически это не проблема конкретных моделей серверов HP, а проблема процессоров Intel, поэтому необходимость установки данного обновления зависит от используемых у вас процессоров. В моём случае как раз имеются системы HP ProLiant DL360/380 G5 с процессорами Xeon 5200/5400 поэтому для их обновления требуется загрузка пакетов:

Ранее описанным способом копируем файлы cp028095.exe и cp028101.exe в репозитарий VCRM (хотя если ваш VCRM настроен на автоматическое обновление, то такой файл там скорее всего уже есть) и редактируем через несколько минут появляющиеся файлы cp028095.mnf и cp028101.mnf, добавляя поддержку Windows Server 2012 R2.

После этого обновим на агенте VCA информацию по ссылке refresh inventory и убедимся в том, что теперь теперь мы можем обновить наш сервер…

image

При выборе периода обслуживания серверов не забываем про то, что обновление BIOS потребует обязательной перезагрузки системы для вступления изменений в силу.

Всего комментариев: 27 Комментировать

  1. Обратная ссылка: Установка CentOS Linux 7.2 на сервер HP ProLiant DL360 G5 с поддержкой драйвера контроллера HP Smart Array P400i | Блог IT-KB /

  2. Taras /

    Поделитесь пожалуйста файликом cp028101.exe

  3. forum /

    присоединяюсь к Taras.

    1. Алексей Максимов / Автор записи

      Вендор ограничил доступ к файлу не просто так. Вендор хочет денег за сервисные контракты, по которым предоставляет доступ к таким файлам. И разумеется, делиться я ничем подобным не буду, так как у нас здесь не "варезник" и мне риски получения неприятностей с вендором не нужны.

      Однако в интернете есть вполне открытые источники, с помощью которых можно заполучить желаемый файл под Вашу персональную ответственность.
      Например, данный ресурс: http://filemare.com/ru-ru/search

      У HP есть пакет оффлайн-обновления: Systems ROMPaq Firmware Upgrade for HP ProLiant DL360 G5 (P58) Servers
      http://h20564.www2.hpe.com/hpsc/swd/public/detail?sp4ts.oid=3288144&swItemId=MTX_75580f5b91784d11b58f80d961&swEnvOid=54#tab2
      Там Вы сможете увидеть файл, который нужно искать и его контрольную сумму MD5 для проверки.
      В данном случае речь идёт о файле SP73052.exe. Скачайте, сверьте (для успокоения) контрольную сумму MD5 с той, что указана на сайте HP. Затем распакуете файл - внутри загрузочный ISO для оффлайн-обновления.

      1. boroda13 /

        Вендор в конец охреневший когда хочет денег за древние фирмвари к столетнему железу.
        И совершенно бестолковый, потому что проявив фантазию, все это легко находится на его же вендора ftp причем под anonimous.

  4. Роман /

    Поделитесь, пожалуйста файлом обновления cp028101.exe

    1. Алексей Максимов / Автор записи

      Читайте предыдущие комментарии

  5. Вячеслав /

    Други, FTP вендор закрыл и найти BIOS к старому серваку опираясь на предыдущие комментарии не удаётся :(
    Подскажите, может знает кто где искомый зверь водится?

    Али завалялся может у кого BIOS на HP Proliant ML150 G2 - поделитесь, буду премного благодарен!

    1. Алексей Максимов / Автор записи

      HP Proliant ML150 G2 очень старая модель. Какая версия BIOS у Вас на сервере? Судя по сайту HPE, последняя версия BIOS для этой модели 2006.06.30 (A) (5 Sep 2006). Ищите файл SP33396.EXE

      1. Вячеслав /

        Алексей, спасибо, что откликнулись.
        Да старьё, но уж что есть...
        Сейчас стоит версия 1.2.
        2Гб планки сервер видеть отказывается, подозреваю из-за старого BIOS.
        SP33396.EXE уже вчера искал, но ни google ни файловые поисковики ничего кроме мёртвых ссылок на ftp HP не выдают :( Посему и вопрошаю всемогущий All
        А поиски продолжаю...

        1. Алексей Максимов / Автор записи

          Плохо искали. В первом десятке ссылок в Google есть форум, где можно в открытом виде забрать нужный Вам файл :)

          1. Вячеслав /

            Да-да, уже нашёл :)
            Вот только не на 100% уверен что в архиве то, что заявлено, будем проверять...
            Но, опять же, есть вероятность что сразу последняя версия не прошьётся - видел на хабре статью как 1.57 на 1.10 не прошился, решилось прошивкой сначала на 1.51. А вот 1.51 google не хочет находить от слова совсем...

  6. Вячеслав /

    BIOS 1.57 нормально прошился поверх 1.2

    Однако память, заявленная на eBay как "4GB 2x 2GB PC2700 HP-Compaq Proliant ml150 G2" не завелась :(
    При включении сервер сигнализирует бипами: 1-3-3-1, что соответствует ошибке 28h - ошибка автоматического определения объёма памяти.
    Я так понимаю, что тут вариантов нет - память завести не удастся?
    Или может кто чего дельного подскажет?

  7. Сергей /

    Здравствуйте. Имеем HP180g6. Как прошить в нем ILO2 из архива что вы описали?

    1. Алексей Максимов / Автор записи

      Здравствуйте, Сергей.

      Можно прямо через веб-интерфейс ILO, как описано здесь https://blog.it-kb.ru/2014/10/10/slow-sluggish-open-pages-integrated-lights-out-2-ilo2-in-internet-explorer-11-ie11-need-to-update-ilo-firmware-to-2-25/
      Информацию о других приёмах работы с оборудованием HP найдёте здесь https://wiki.it-kb.ru/hewlett-packard

  8. Роман Владимирович /

    Поделитесь пожалуйста файлом обновления cp028101.exe

    1. Алексей Максимов / Автор записи

      Прочитайте, пожалуйста, предыдущие комментарии по этому поводу.

  9. Виталий /

    После обновления ILO на 2.29 при нагрузке на сервер стали вылазить ошибки по памяти, причем ругается на разные планки. Подскажите с чем это может быть связанно?

    1. Алексей Максимов / Автор записи

      Текущая актуальная версия iLO2 - 2.33 (30 Mar 2018). И обновляться нужно именно на неё, а не на уже ставшую старой версию 2.29. Тестируйте память, например с помощью загрузочной утилиты memtest. Вероятней всего память битая, и прошивка iLO тут ни причём.

  10. Максим /

    добрый день очень ну очень нужен пожалуйста файлом обновления cp028101.exe

    transformer@mail.ru

  11. Валерий /

    Помогите найти bios под hp proliant dl380 g7.. не могу найти.. очень нужно

    1. Алексей Максимов / Автор записи

      Online ROM Flash Component for Windows x64 - HP ProLiant DL380 G7 (P67) Server
      Версия: 2018.05.21 (2 Jul 2018)
      Файл: cp036401.exe
      Открытая ссылка на загрузку на HPE

      А вообще, в качестве отправной ссылки на поиск старого микрокода на HPE можно использовать эту
      ссылку.

  12. Vanger123 /

    Здраствуйте, можете поделиться ссылкой на биос для HPE ProLiant /DL360 Gen9 P89

  13. Tum Govic /

    Помогите обновить BIOS и iLo 2 на HP ProLiant DL360 G5. Всё старое и древнеископаемое, нету почти ничего по файлам. HP всё заблокал. Хотя на сайте зарегались и добавили сервере, требует контракт которого нету.

  14. Алексей Максимов / Автор записи

    Вам нужно 2 файла

    1) Online ROM Flash Component for Windows x64 - HP Integrated Lights-Out 2
    2.33 (30 Mar 2018)
    https://support.hpe.com/connect/s/softwaredetails?language=en_US&softwareId=MTX_163afbdf14ed40468da506424a
    cp035237.exe
    SHA-256 Checksum:
    f32ae65e334ab2e52390a6879710aade0c22e4e7c4d0c92a7de7cb8c3cd4271c

    Этот файл доступен для скачивания по указанный ссылке прямо сейчас "без SMS и регистраций".

    2) Online ROM Flash Component for Windows x64 - HP ProLiant DL360 G5 (P58) Server
    2015.08.16(30 Sep 2015)
    https://support.hpe.com/connect/s/softwaredetails?language=en_US&softwareId=MTX_b5c422a9d5e342118f688c7332
    cp028102.exe
    SHA-256 Checksum:
    e2f9d344ee3352c6d89bdffbac63993efbfa959528cebe48126cb9392d7598b4

    Этого файла действительно нет на сайте HPE в открытом доступе.
    Но если сделать запрос по имени файла в гугл, третья ссылка при выдаче результата ведёт на страницу форума https://sysadmins.ru/topic527670.html

    Общее время поиска: 10 минут.

  15. Алексей /

    Добрый день! Есть HP DL380 G5. На сайте https://support.hpe.com/connect/s/softwaredetails?language=en_US&collectionId=MTX-UNITY_C9271 при выборе этой модели прошивки iLO2 выше 2.27 показываются как Incompatible. Можно ли прошивать последнюю (2.33)?

    1. Алексей Максимов / Автор записи

      Можно.

Добавить комментарий