Обновляем Firmware BIOS & iLO2 на серверах HP ProLiant DL360/380 G5

imageВ прошлый раз мы рассматривали обновление прошивки Integrated Lights-Out 2 (iLO2) до версии 2.27 на серверах HP ProLiant DL360/380 G5 c Windows Server 2012 R2 с помощью пакета установки, распространяемого через VCRM. В конце сентября и начале октября этого года появились новые версии прошивок iLO2 а также BIOS, относящихся в частности к этому же поколению серверов. Наверно можно было бы пропустить эти обновления "мимо ушей", если бы не степень критичности уязвимостей, которые исправляются этими обновлениями.

Обновление iLO2 до версии 2.29

Относительно iLO информацию о проблемных версиях прошивок можно найти в бюллетене безопасности HP - ID c04486432 - HPSBHF03151 rev.4 - HP Integrated Lights-Out 2 and 4 (iLO 2, iLO 4), Chassis Management (iLO CM) on Proliant, Remote Denial of Service, Execution of Code, Elevation of Privilege. Как видно из этого документа, проблема безопасности распространяется в том числе и на рассмотренную нами в прошлый раз версию прошивки 2.27 для iLO2. Поэтому нам обязательно нужно выполнить обновление прошивки. Причём обновляться нужно не на следующую версию 2.28, которая имеет уже известные проблемы с JRE, описанные в документе ID c04818378 - Advisory: HP Integrated Lights-Out 2 (iLO 2) - Unable to Launch Java Remote Console with Java Runtime Environment (JRE) Versions 7 and 8 when TLSv1.1 and TLSv1.2 Are Enabled. Поэтому обновляться будем сразу на текущую версию 2.29, с момента выхода которой прошло уже достаточно времени.

FIXES:
- The Java IRC will not start when JRE versions 7 or 8 are installed and TLS 1.1/1.2 is enabled.
- Addressed the vulnerability mentioned in CVE-2015-4000 and SSRT102268 (client-side SSL/TLS connections).

Как и раньше, новую версию прошивки можно загрузить с сайта HP по ссылке: http://www.hp.com/support/ilo2.

По указанной ссылке откроется страница загрузки HP Integrated Lights-Out 2 (iLO 2) Firmware for ProLiant G6 Servers, где выберем любую наиболее подходящую нам ОС, например Microsoft Windows Server 2008 R2 и загрузим установочный пакет версии 2.29 – файл cp027873.exe.

Ранее описанным способом копируем файл в репозитарий VCRM (хотя если ваш VCRM настроен на автоматическое обновление, то такой файл там скорее всего уже есть) и редактируем через несколько минут появляющийся файл cp027873.mnf, добавляя поддержку Windows Server 2012 R2.

 

Обновление BIOS до версии 2015.08.16

Не смотря на то, что фактически поддержка систем HP ProLiant DL360/380 G5 со стороны HP уже давно закончилась, а последнее обновление BIOS было в 2011 году, HP выпустили ряд обновлений прошивок для систем использующих процессоры серий Intel Xeon 5200 и 5400. Как я понял, на конференции по безопасности Black Hat USA 2015 миру была продемонстрирована уязвимость в указанной серии процессоров, после чего уважающие себя производители систем использующих эти процессоры, инициировали обновление прошивок своих материнских плат. Описание к релизу 2015.08.16:

Problems Fixed: 
While HP ProLiant servers using impacted Intel processors are not vulnerable to the specific attack announced publicly at the Blackhat USA 2015 security conference, this BIOS update includes updated microcodes from Intel which prevent the possibility of exploiting the processor vulnerability that make the attack possible with Intel Xeon 5200-series and Intel Xeon 5400-series processors. This Intel processor vulnerability is NOT unique to HP ProLiant servers.

То есть фактически это не проблема конкретных моделей серверов HP, а проблема процессоров Intel, поэтому необходимость установки данного обновления зависит от используемых у вас процессоров. В моём случае как раз имеются системы HP ProLiant DL360/380 G5 с процессорами Xeon 5200/5400 поэтому для их обновления требуется загрузка пакетов:

Ранее описанным способом копируем файлы cp028095.exe и cp028101.exe в репозитарий VCRM (хотя если ваш VCRM настроен на автоматическое обновление, то такой файл там скорее всего уже есть) и редактируем через несколько минут появляющиеся файлы cp028095.mnf и cp028101.mnf, добавляя поддержку Windows Server 2012 R2.

После этого обновим на агенте VCA информацию по ссылке refresh inventory и убедимся в том, что теперь теперь мы можем обновить наш сервер…

image

При выборе периода обслуживания серверов не забываем про то, что обновление BIOS потребует обязательной перезагрузки системы для вступления изменений в силу.

Всего комментариев: 5 Комментировать

  1. Обратная ссылка: Установка CentOS Linux 7.2 на сервер HP ProLiant DL360 G5 с поддержкой драйвера контроллера HP Smart Array P400i | Блог IT-KB /

  2. Taras /

    Поделитесь пожалуйста файликом cp028101.exe

  3. forum /

    присоединяюсь к Taras.

    1. Алексей Максимов / Автор записи

      Вендор ограничил доступ к файлу не просто так. Вендор хочет денег за сервисные контракты, по которым предоставляет доступ к таким файлам. И разумеется, делиться я ничем подобным не буду, так как у нас здесь не "варезник" и мне риски получения неприятностей с вендором не нужны.

      Однако в интернете есть вполне открытые источники, с помощью которых можно заполучить желаемый файл под Вашу персональную ответственность.
      Например, данный ресурс: http://filemare.com/ru-ru/search

      У HP есть пакет оффлайн-обновления: Systems ROMPaq Firmware Upgrade for HP ProLiant DL360 G5 (P58) Servers
      http://h20564.www2.hpe.com/hpsc/swd/public/detail?sp4ts.oid=3288144&swItemId=MTX_75580f5b91784d11b58f80d961&swEnvOid=54#tab2
      Там Вы сможете увидеть файл, который нужно искать и его контрольную сумму MD5 для проверки.
      В данном случае речь идёт о файле SP73052.exe. Скачайте, сверьте (для успокоения) контрольную сумму MD5 с той, что указана на сайте HP. Затем распакуете файл - внутри загрузочный ISO для оффлайн-обновления.

      1. boroda13 /

        Вендор в конец охреневший когда хочет денег за древние фирмвари к столетнему железу.
        И совершенно бестолковый, потому что проявив фантазию, все это легко находится на его же вендора ftp причем под anonimous.

Добавить комментарий