Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: RDa 19. 08. 2024, 18:37:24
-
Tak jsem vybalil nepouzitej switch z krabice - sehnal seriovej kablik, nastavil user/pass, IP adresu a jdu kontroloval verzi..
je tam NX-OS 10.1(1), tj. s release date 2021-02-15
Tak lezu na web ze si stahnu aktualizaci - a ejhle.. chce to nejaky service contract. Jako WTF.
To fakt nestahnu aktualni FW bez nejakeho dalsiho vypalneho? A navic nemam absolutne sanci zjistit kolik to vypalne realne bude, protoze si to vycuca nejaky nagelovanej sales z prstu?
Tahle situace pripomina ono slavne BMW za par mega, kde je vyhrivani sedadel jako subscription :D
Nema nemaky statni urad tohle v kompetenci - ze proste stary deravy fw se MUSI nechat aktualizovat zdarma, jinak jim napari pokuty nebo zakaz cinnosti?
-
To fakt nestahnu aktualni FW bez nejakeho dalsiho vypalneho?
Ne.
Nema nemaky statni urad tohle v kompetenci - ze proste stary deravy fw se MUSI nechat aktualizovat zdarma, jinak jim napari pokuty nebo zakaz cinnosti?
Ne.
Máš zájem o firmware, nebo o flamewar?
-
Máš zájem o firmware, nebo o flamewar?
Mam zajem provozovat HW zpusobem, ktery nebude nebezpecny pro me nebo pro cizi - tj. s aktualnim FW.
(a ne, odpojit sitovy i napajeci kabely, nejsou resenim bezpecnostni otazky)
-
Máš zájem o firmware, nebo o flamewar?
Mam zajem provozovat HW zpusobem, ktery nebude nebezpecny pro me nebo pro cizi - tj. s aktualnim FW.
(a ne, odpojit sitovy i napajeci kabely, nejsou resenim bezpecnostni otazky)
V tom případě nevím, co řešíš, a zaplať si service contract.
-
Mam zajem provozovat HW zpusobem, ktery nebude nebezpecny pro me nebo pro cizi - tj. s aktualnim FW.
(a ne, odpojit sitovy i napajeci kabely, nejsou resenim bezpecnostni otazky)
V tom případě nevím, co řešíš, a zaplať si service contract.
Pockat pockat - to ma uzivatel platit za to, ze nejaky sebestredny vyrobce je neschopnej a produkuje deravy soft ?
Minimalne bych ocekaval, ze NOVE zarizeni bude po koupi bez vad - tj. v pripade firmwaru, ktery typicky casem hnije, bude zarizeni schopno alespon jednoho upgradu na aktualni mature verzi. A ne ze tam bude nejaka prvni betaverze.
-
Mam zajem provozovat HW zpusobem, ktery nebude nebezpecny pro me nebo pro cizi - tj. s aktualnim FW.
(a ne, odpojit sitovy i napajeci kabely, nejsou resenim bezpecnostni otazky)
V tom případě nevím, co řešíš, a zaplať si service contract.
Pockat pockat - to ma uzivatel platit za to, ze nejaky sebestredny vyrobce je neschopnej a produkuje deravy soft ?
Nikoliv, uživatel má v tomto případě platit za to, že si koupil zařízení, aniž by znal všechna specifika jeho užívání.
Minimalne bych ocekaval, ze NOVE zarizeni bude po koupi bez vad - tj. v pripade firmwaru, ktery typicky casem hnije, bude zarizeni schopno alespon jednoho upgradu na aktualni mature verzi. A ne ze tam bude nejaka prvni betaverze.
Obrať se na prodejce zařízení, ať ti pošle aktuální firmware.
-
Minimalne bych ocekaval, ze NOVE zarizeni bude po koupi bez vad - tj. v pripade firmwaru, ktery typicky casem hnije, bude zarizeni schopno alespon jednoho upgradu na aktualni mature verzi. A ne ze tam bude nejaka prvni betaverze.
v cene noveho HW od tohto nemenovaneho vyrobcu mas podla mna rocny support automaticky.
t.j. to co chces je splnene :P
-
Tak si dame botneticek do switchiku... protoze zpracovat command line se porad kluci nenaucili:
https://www.theregister.com/2024/07/02/cisco_nexus_zero_day/
https://nvd.nist.gov/vuln/detail/CVE-2024-20399
Bohuzel emailova podpora na tac@, ktera nabizela updaty mimo kontrakt, se zrusila ke dni 27.7.2024 .. to uz je jako schvalnost fakt :D
-
EDIT: support chat vytvoril ticket! na CVE slysi
-
Já takhle jednou vyhazoval zcela funkční Checkpoint malý HW firewall pro SOHO. Blokoval nějaký IP range, který byl původně označený jako privátní, ale pak ho začal používat nějaký cloud (tuším, že Azure) a jediné řešení byl nový firmware, k jehož získání bylo třeba doplatit support za několik zpětně, kdy jsme ho neplatili. Levnější pro nás bylo vyhodit zcela funkční zařízení a koupit o něco novější verzi s aktuálním firmwarem. Ekologie v praxi.
-
https://cdn.cisko.dk/
https://cios.dhitechnical.com/ prihlasovaci udaje ve zdrojovem kodu stranky
-
...
V tom případě nevím, co řešíš, a zaplať si service contract.
Kdybys neblaboli ze? Na zarizeni je zaruka a zaruka se samozrejme vztahuje i na SW => minimalne po dobu zaruky je dodavatel povinen to resit. Ze zakona hosane.
2RDa:
http://132.145.223.253/
hashe jsou na oficielnim ciscowebu i bez loginu, tak si je klidne over.
Edit:
A navic nemam absolutne sanci zjistit kolik to vypalne realne bude
To ti muzu prasknout taky ... cca 1/2 ceny switche na 3 roky.
-
Kontaktujte distributora, NXOS vám dodá. Pokud máte validní podporu a nebo subscribční licenci na NXOS, pak si nechte vás kontrakt nahrát do support portálu a NXOS si stahněte.
Mimochodem např. Fortigate od verze 7.4 bez zaplacené podpory již neupgradujete i přesto že FW máte k dispozici.
-
Tohle jsou pekny security produkty, kdyz se aktualizace musi shanet po obskurnich noname webech. To same HP servery.
A i kdyby na oficialnim webu byly hashe, kolik majitelu zbozi je kontroluje? 100%? Ani nahodou :-)
-
Je to už pár let, co mi do nějakých ex-corp APčkek stahovali FW kluci od nás z firmy. To mi jako lekce stačilo a už se podobnému HW vyhýbám. Je to produkt pro firmy, která dopředu ví, že bude 3 roky platit podporu, a pak to vyhodí a koupí nový HW, opět s podporou.
Kdo si to koupí bez podpory si povětšinou neváží svého času, který bude muset vrazit do pokoutného shánění FW.
-
Tohle jsou pekny security produkty, kdyz se aktualizace musi shanet po obskurnich noname webech. To same HP servery.
A i kdyby na oficialnim webu byly hashe, kolik majitelu zbozi je kontroluje? 100%? Ani nahodou :-)
Zhanat to naobskurnich webech nemusis. Staci si zaplatit podproru. Cisco to ma tako "odjakziva" a ked s tym niesi OK, tak to nekupuj.
Co sa tyka HP. Uz sa to tu raz preberalo ohladom HP. HP to skusilo pred niekolkymi rokmi ale po chvili to vzdalo a uz par rokov je znovu vsetko volne dostupne. Aj vtedy to nebolo celkom uzatvorene, len si nemal pristup k starsim verziam ale len k aktualnej.
-
Tohle jsou pekny security produkty, kdyz se aktualizace musi shanet po obskurnich noname webech. To same HP servery.
A i kdyby na oficialnim webu byly hashe, kolik majitelu zbozi je kontroluje? 100%? Ani nahodou :-)
Zhanat to naobskurnich webech nemusis. Staci si zaplatit podproru. Cisco to ma tako "odjakziva" a ked s tym niesi OK, tak to nekupuj.
Bohuzel nikde na svem webu nemaji napsano, ze aktualizace FW z duvodu chyb, ktere si tam naprasili sami neni mozna a vyzaduje nejake mafianske vypalne v nespecifikovane vysi. Kdyby to bylo jasne komunikovano.. budiz.. ale neni.
Ethernet switch beru jako HW, ne jako sluzbu, ackoliv si spousta managoru mysli, ze za sluzbu muze schovat kde co. Treba nedavno i seriove montovane odpruzeni na BMW - aktivovane jako trialware s naslednym poplatkem nebo subscription :D
-
Zhanat to naobskurnich webech nemusis. Staci si zaplatit podproru
Predavkovanie bryndzou?
-
hashe jsou na oficielnim ciscowebu i bez loginu, tak si je klidne over.
Prima, tak zde uz je novejsi, 10.2.7(M), ktery je v upgrade matrixu jako nutny krok v pripade cileni na jakoukoliv vyssi verzi.
MD5 sedi jak u techto, tak u obrazu ktere jsou stazeny z linku co postoval uzivatel vejs. Osobne bych cekal, ze zarizeni si podpis a integritu fw bude overovat.. a ne ze dovoli flashnout cokoliv, ale jeden nikdy nevi.. i kdyz se podle dokumentace chvali securebootem na tom servisnim procesoru.
-
i kdyz se podle dokumentace chvali securebootem na tom servisnim procesoru.
To bych raději ani nezmiňoval... Tentoto super duper hyperbezpečný bazmek aktuálně řeší Microsoft (https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#bkmk_update_boot_media). Ten báječný secureboot po skončení certifikátu prostě nenabootuje. To je tak skvěle promyšlená technologie... ::)
Recovery or install media will need to be updated so that it will work with a device that has the mitigations applied.
-
i kdyz se podle dokumentace chvali securebootem na tom servisnim procesoru.
To bych raději ani nezmiňoval... Tentoto super duper hyperbezpečný bazmek aktuálně řeší Microsoft (https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#bkmk_update_boot_media). Ten báječný secureboot po skončení platnosti certifikátu prostě nenabootuje. To je tak skvěle promyšlená technologie... ::)
Recovery or install media will need to be updated so that it will work with a device that has the mitigations applied.
Ale jinak to myslím řeší tvůj problém - definitivně. Žádný problém s neaktualizovaným switchem v krabici. Už ho prostě nespustíš, tím to je vyřízeno.
-
Recovery or install media will need to be updated so that it will work with a device that has the mitigations applied.
Ale jinak to myslím řeší tvůj problém - definitivně. Žádný problém s neaktualizovaným switchem v krabici. Už ho prostě nespustíš, tím to je vyřízeno.
Ja tam spis cekal treba Avoton bug, ze to CPU umre fyzicky. Ale koukej.. marnosti neni nikdy dost:
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72150.html
Due to a flaw in the Solid State Drive (SSD) firmware, the SSD will no longer respond after approximately 3.2 years of cumulative operation.
After the first unresponsive event is experienced, every subsequent power-cycle of the system will allow the drive to operate for another 1008 hours (approximately six weeks) before it will no longer respond again.
Nechapu tenhle amaterismus co na nas ciha z kazdeho koutu!
-
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72150.html
Nechapu tenhle amaterismus co na nas ciha z kazdeho koutu!
Revision History - 1.7. Už dva roky se v tom matlaj, experti... ::) Nevím, proč si neplatíš ten skvělý support. ;D
-
> Tohle jsou pekny security produkty, kdyz se aktualizace musi shanet po obskurnich noname webech. To same HP servery.
A třeba Dell bez support kontraktu odmítá reagovat i na nahlášení bezpečnostních problémů v jejich zařízeních. Po 3 pokusech jsem to vzdal.
-
To sranda zarizeni by si zaslouzilo clanek samo o sobe. jaky to je kripl a podvod na kazdem rohu :D
- ziskat root shell ze switch CLI neni problem, je tam linux kernel 4.19.162
- je tam 240 GB disk, ale skrze HPA je tam omezeni na 128GB ... aby to papirove sedelo se speckama?
- kernel option: cpuidle.off=1 ....
it is rather crude and not very energy-efficient. For this reason, it is not recommended for production use.
(nuz v idle to zere pres 200W, neni zapojen zadny 25G/100G port, jen 1G management)
- dedikovany fpga na rizeni vetracku je na pcie, ma hezky i kernel drivery
- custom switch asic je taky na pcie, ale drivery nema, asi to tam pere nejaky tool primo na i/o adresy z userspace
- v /proc/net/dev je 86 rozhrani (56 dle fyzickych portu plus nejake smeti)
- AMI bios ma zpraseny DMI tabulky, ukazuje porty a featury ktere ta vec nema (jako IGD, 1394 FW)
- kernel option: noefi .... i kdyz bios je UEFI capable (podle dmidecode)
- secureboot tam evidentne neni aktivni (v kernelu je pouze certifikat pro podepsane moduly)
- cpuinfo/bugs: cpu_meltdown spectre_v1 spectre_v2 spec_store_bypass l1tf mds swapgs taa itlb_multihit
Takze kamo, tihle tady ani neresi patche proti klasickym intel chybam
Jediny co se me tam zatim libi, ze provoz ridi neco kolem 180 procesu - neco jako mikroservices, ze kdyby neco padlo tak zbytek prezije. Tento pristup jsem aplikoval i do sveho zarizeni pred dekadou (restart/upgrade mikrosluzby pak lze delat za chodu.. neni to velkej monolit co se musi zhodit cely).
-
Muzes si gratulovat ze tam je ssh2 ... mam v portfoliu par cisco kousku, ktere jeste pomerne nedavno mely support, a je na nich polonefunkcni ssh1 ... nebo telnet.
Takze vlastne 4kovej kernel je docela zhava novinka.
-
Kontaktujte distributora, NXOS vám dodá. Pokud máte validní podporu a nebo subscribční licenci na NXOS, pak si nechte vás kontrakt nahrát do support portálu a NXOS si stahněte.
Mimochodem např. Fortigate od verze 7.4 bez zaplacené podpory již neupgradujete i přesto že FW máte k dispozici.
Dobry den,
ak to niekomu pomoze, k tomu fortigate
- 7.4.1 je este mozne upgradovat bez licencie, vsetko novsie nejde bez licencie ani downgrade, ani upgrade z nabootovaneho OS (ani cez console)
- nasiel som clanok, ako sa to da obist, pouzil som tento postup uspesne na fgt60e, fgt60f z 7.4.2 na 7.4.4
https://blog.boll.ch/upgrading-a-fortigate-without-support-contract-to-fortios-7-4-2/ (https://blog.boll.ch/upgrading-a-fortigate-without-support-contract-to-fortios-7-4-2/)
m
-
Bohuzel nikde na svem webu nemaji napsano, ze aktualizace FW z duvodu chyb, ktere si tam naprasili sami neni mozna a vyzaduje nejake mafianske vypalne v nespecifikovane vysi. Kdyby to bylo jasne komunikovano.. budiz.. ale neni.
Ethernet switch beru jako HW, ne jako sluzbu, ackoliv si spousta managoru mysli, ze za sluzbu muze schovat kde co. Treba nedavno i seriove montovane odpruzeni na BMW - aktivovane jako trialware s naslednym poplatkem nebo subscription :D
Cital si uz niekedy nejaku licenciu k SW? Nikto ti nic negarantuje a tiez to skoro nikde namas jasne komunikovane. Aj pri platenom suporte nemas v podstate nic garantovane. Len to,ze tvojim problemom sa niekto zacne zaoberat. Je tu aj nieco ako EOL. Support nieco stoji a nitko ti ho len tak robit nebude. Stale mas volbu a ich veci nemusis kupovat/poozuvat.
Switch za dvacku mozes povazovat za HW, kde je tiez nejaky ten SW a nikto nikdy ti ho nefixne ak tam nejaky problem je.
Neverim, ze si doteraz nepocul o tom, ze CISCO len tak neposkyutje FW/updaty. Predpokladam, ze si sa lacno dostal k vyradenemu zaloznemu switchu, tak tvoj narek tu mi pride trochu prehnany.