Získání aktuálního firmware Cisco

[ondrej _]

Tohle jsou pekny security produkty, kdyz se aktualizace musi shanet po obskurnich noname webech. To same HP servery.
A i kdyby na oficialnim webu byly hashe, kolik majitelu zbozi je kontroluje? 100%? Ani nahodou :-)

Zhanat to naobskurnich webech nemusis. Staci si zaplatit podproru. Cisco to ma tako "odjakziva" a ked s tym niesi OK, tak to nekupuj.

Co sa tyka HP. Uz sa to tu raz preberalo ohladom HP. HP to skusilo pred niekolkymi rokmi ale po chvili to vzdalo a uz par rokov je znovu vsetko volne dostupne. Aj vtedy to nebolo celkom uzatvorene, len si nemal pristup k starsim verziam ale len k aktualnej.

[Reklama]

[RDa]

Tohle jsou pekny security produkty, kdyz se aktualizace musi shanet po obskurnich noname webech. To same HP servery.
A i kdyby na oficialnim webu byly hashe, kolik majitelu zbozi je kontroluje? 100%? Ani nahodou :-)

Zhanat to naobskurnich webech nemusis. Staci si zaplatit podproru. Cisco to ma tako "odjakziva" a ked s tym niesi OK, tak to nekupuj.

Bohuzel nikde na svem webu nemaji napsano, ze aktualizace FW z duvodu chyb, ktere si tam naprasili sami neni mozna a vyzaduje nejake mafianske vypalne v nespecifikovane vysi. Kdyby to bylo jasne komunikovano.. budiz.. ale neni.

Ethernet switch beru jako HW, ne jako sluzbu, ackoliv si spousta managoru mysli, ze za sluzbu muze schovat kde co. Treba nedavno i seriove montovane odpruzeni na BMW - aktivovane jako trialware s naslednym poplatkem nebo subscription

[LolPhirae]

Zhanat to naobskurnich webech nemusis. Staci si zaplatit podproru

Predavkovanie bryndzou?

[RDa]

hashe jsou na oficielnim ciscowebu i bez loginu, tak si je klidne over.

Prima, tak zde uz je novejsi, 10.2.7(M), ktery je v upgrade matrixu jako nutny krok v pripade cileni na jakoukoliv vyssi verzi.

MD5 sedi jak u techto, tak u obrazu ktere jsou stazeny z linku co postoval uzivatel vejs. Osobne bych cekal, ze zarizeni si podpis a integritu fw bude overovat.. a ne ze dovoli flashnout cokoliv, ale jeden nikdy nevi.. i kdyz se podle dokumentace chvali securebootem na tom servisnim procesoru.

[LolPhirae]

i kdyz se podle dokumentace chvali securebootem na tom servisnim procesoru.

To bych raději ani nezmiňoval... Tentoto super duper hyperbezpečný bazmek aktuálně řeší Microsoft. Ten báječný secureboot po skončení certifikátu prostě nenabootuje. To je tak skvěle promyšlená technologie... 

Recovery or install media will need to be updated so that it will work with a device that has the mitigations applied.

[Reklama]

[LolPhirae]

i kdyz se podle dokumentace chvali securebootem na tom servisnim procesoru.

To bych raději ani nezmiňoval... Tentoto super duper hyperbezpečný bazmek aktuálně řeší Microsoft. Ten báječný secureboot po skončení platnosti certifikátu prostě nenabootuje. To je tak skvěle promyšlená technologie... 

Recovery or install media will need to be updated so that it will work with a device that has the mitigations applied.

Ale jinak to myslím řeší tvůj problém - definitivně. Žádný problém s neaktualizovaným switchem v krabici. Už ho prostě nespustíš, tím to je vyřízeno.

[RDa]

Recovery or install media will need to be updated so that it will work with a device that has the mitigations applied.

Ale jinak to myslím řeší tvůj problém - definitivně. Žádný problém s neaktualizovaným switchem v krabici. Už ho prostě nespustíš, tím to je vyřízeno.

Ja tam spis cekal treba Avoton bug, ze to CPU umre fyzicky. Ale koukej.. marnosti neni nikdy dost:

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72150.html

Due to a flaw in the Solid State Drive (SSD) firmware, the SSD will no longer respond after approximately 3.2 years of cumulative operation.

After the first unresponsive event is experienced, every subsequent power-cycle of the system will allow the drive to operate for another 1008 hours (approximately six weeks) before it will no longer respond again.


Nechapu tenhle amaterismus co na nas ciha z kazdeho koutu!

[LolPhirae]

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72150.html

Nechapu tenhle amaterismus co na nas ciha z kazdeho koutu!

Revision History - 1.7. Už dva roky se v tom matlaj, experti...  Nevím, proč si neplatíš ten skvělý support. 

[skrivy]

> Tohle jsou pekny security produkty, kdyz se aktualizace musi shanet po obskurnich noname webech. To same HP servery.

A třeba Dell bez support kontraktu odmítá reagovat i na nahlášení bezpečnostních problémů v jejich zařízeních. Po 3 pokusech jsem to vzdal.

[RDa]

To sranda zarizeni by si zaslouzilo clanek samo o sobe. jaky to je kripl a podvod na kazdem rohu :D

- ziskat root shell ze switch CLI neni problem, je tam linux kernel 4.19.162

- je tam 240 GB disk, ale skrze HPA je tam omezeni na 128GB ... aby to papirove sedelo se speckama?

- kernel option: cpuidle.off=1 ....

it is rather crude and not very energy-efficient. For this reason, it is not recommended for production use.
(nuz v idle to zere pres 200W, neni zapojen zadny 25G/100G port, jen 1G management)


- dedikovany fpga na rizeni vetracku je na pcie, ma hezky i kernel drivery

- custom switch asic je taky na pcie, ale drivery nema, asi to tam pere nejaky tool primo na i/o adresy z userspace

- v /proc/net/dev je 86 rozhrani (56 dle fyzickych portu plus nejake smeti)

- AMI bios ma zpraseny DMI tabulky, ukazuje porty a featury ktere ta vec nema (jako IGD, 1394 FW)

- kernel option: noefi .... i kdyz bios je UEFI capable (podle dmidecode)

- secureboot tam evidentne neni aktivni (v kernelu je pouze certifikat pro podepsane moduly)

- cpuinfo/bugs: cpu_meltdown spectre_v1 spectre_v2 spec_store_bypass l1tf mds swapgs taa itlb_multihit

Takze kamo, tihle tady ani neresi patche proti klasickym intel chybam



Jediny co se me tam zatim libi, ze provoz ridi neco kolem 180 procesu - neco jako mikroservices, ze kdyby neco padlo tak zbytek prezije. Tento pristup jsem aplikoval i do sveho zarizeni pred dekadou (restart/upgrade mikrosluzby pak lze delat za chodu.. neni to velkej monolit co se musi zhodit cely).

[jjrsk]

Muzes si gratulovat ze tam je ssh2 ... mam v portfoliu par cisco kousku, ktere jeste pomerne nedavno mely support, a je na nich polonefunkcni ssh1 ... nebo telnet.

Takze vlastne 4kovej kernel je docela zhava novinka.

[datlikMS]

Kontaktujte distributora, NXOS vám dodá. Pokud máte validní podporu a nebo subscribční licenci na NXOS, pak si nechte vás kontrakt nahrát do support portálu a NXOS si stahněte.

Mimochodem např. Fortigate od verze 7.4 bez zaplacené podpory již neupgradujete i přesto že FW máte k dispozici.

Dobry den,
ak to niekomu pomoze, k tomu fortigate
- 7.4.1 je este mozne upgradovat bez licencie, vsetko novsie nejde bez licencie ani downgrade, ani upgrade z nabootovaneho OS (ani cez console)
- nasiel som clanok, ako sa to da obist, pouzil som tento postup uspesne na fgt60e, fgt60f z 7.4.2 na 7.4.4

https://blog.boll.ch/upgrading-a-fortigate-without-support-contract-to-fortios-7-4-2/

m

[ondrej _]

Bohuzel nikde na svem webu nemaji napsano, ze aktualizace FW z duvodu chyb, ktere si tam naprasili sami neni mozna a vyzaduje nejake mafianske vypalne v nespecifikovane vysi. Kdyby to bylo jasne komunikovano.. budiz.. ale neni.

Ethernet switch beru jako HW, ne jako sluzbu, ackoliv si spousta managoru mysli, ze za sluzbu muze schovat kde co. Treba nedavno i seriove montovane odpruzeni na BMW - aktivovane jako trialware s naslednym poplatkem nebo subscription

Cital si uz niekedy nejaku licenciu k SW? Nikto ti nic negarantuje a tiez to skoro nikde namas jasne komunikovane. Aj pri platenom suporte nemas v podstate nic garantovane. Len to,ze tvojim problemom sa niekto zacne zaoberat. Je tu aj nieco ako EOL. Support nieco stoji a nitko ti ho len tak robit nebude. Stale mas volbu a ich veci nemusis kupovat/poozuvat.
Switch za dvacku mozes povazovat za HW, kde je tiez nejaky ten SW a nikto nikdy ti ho nefixne ak tam nejaky problem je.

Neverim, ze si doteraz nepocul o tom, ze CISCO len tak neposkyutje FW/updaty. Predpokladam, ze si sa lacno dostal k vyradenemu zaloznemu switchu, tak tvoj narek tu mi pride trochu prehnany.