SDLab

SDLab
SDLab.org::Adminな脳み

2015年1月29日木曜日

XenServer 6.5 と Software RAID

Software RAID (mdadm) on XenServer 6.5 unexpected failure
http://discussions.citrix.com/topic/360943-software-raid-mdadm-on-xenserver-65-unexpected-failure/

XenServer 6.5 do not load soft raid kernel modules on boot. (See comments by Roland Monday on this article).

My solution is:
1. Create file /etc/sysconfig/modules/raid.modules with needed modules
# echo "modprobe raid1" > /etc/sysconfig/modules/raid.modules
you can add lines for another raid level (raid0 or raid10 for example)

2. Make this file executable
# chmod +x /etc/sysconfig/modules/raid.modules

3. Reboot.

PS: I do not know will this changes survive after installing patches

読んでの通り、XS6.5は ソフトウェアRAID のKernel ModuleをBoot時に読み込まないので、
読み込んでから、mdadm --create しろという話し。

glibc GHOST Vulnerability と XenServer

Citrix Security Advisory for glibc GHOST Vulnerability (CVE-2015-0235)
http://support.citrix.com/article/CTX200391

Citrix XenServer: Analysis into the impact of this issue on XenServer is in progress. XenServer does include a vulnerable version of glibc but at present there is no known route by which a guest virtual machine would be able to invoke the vulnerable functionality through the hypervisor interface. Analysis of this is still in progress and this section will be updated when additional information is available.

調査中だけど、まぁ大丈夫じゃね?って感じ。
なお、私的には下記に同意。

Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を
http://blog.trendmicro.co.jp/archives/10818

最後に、この脆弱性が対象とする関数「gethostbyname*()」はすでに古いものとなっています。これらの関数は IPv6アドレスに対応していないため、多くの新しいアプリケーションでは、この脆弱な関数「gethostbyname*()」ではなく、IPv6 をサポートする関数「getaddrinfo()」を使用しているものと考えられます。
以上を考慮すると、「GHOST」を狙った実際の攻撃による危険性は、「Shellshock」や「Heartbleed」などの脆弱性と比較すると低いものになっています。

下記のメジャーどころは影響受けない。
Re: Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow
http://seclists.org/oss-sec/2015/q1/283

apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,
nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,
pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,
vsftpd, xinetd.

でも古いのは影響受ける場合がある。
http://www.openwall.com/lists/oss-security/2015/01/27/9
ProcmailとかEximとかは影響をうける。

2015年1月21日水曜日

[Xen-users] Xen Security Advisory 109 (CVE-2014-8594) - Insufficient restrictions on certain MMU update hypercalls

[Xen-users] Xen Security Advisory 109 (CVE-2014-8594) - Insufficient restrictions on certain MMU update hypercalls
http://lists.xen.org/archives/html/xen-users/2015-01/msg00120.html

Xen4.0以上のIntel系は対応が必要なので、そのうちXenServerのPatchも出るでしょう。

LINEを利用までの長い道のり

LINEが必要だ、さっさと入れろと迫られて、
今までは断ってたのだが、断れない状況になったので専用端末を用意して対応することにした。

2015年1月9日金曜日

Hotfix XS62ESP1016 - For XenServer 6.2.0 Service Pack 1

Hotfix XS62ESP1016 - For XenServer 6.2.0 Service Pack 1
http://support.citrix.com/article/CTX141779

新機能:

  • Supports the firmware of Dell EqualLogic 7.x arrays with Integrated StorageLink (iSL).
  • Contains improvements for generating crash dump files.


iSLのサポートって無くなってた気がするが、復活したの?よくしらないけど。

Hotfix:

  • Migration時の動作や、SM関連の修正。お、早速試してる。


含まれるPATCH:

  • XS62ESP1002
  • XS62ESP1004
  • XS62ESP1008
  • XS62ESP1011
  • XS62ESP1013
  • XS62ESP1015


あて方は、XS62ESP1015の置き換えていいと思う。

2015年1月8日木曜日

python-virtinst bug fix and enhancement update on RHEL6

python-virtinst bug fix and enhancement update
https://rhn.redhat.com/errata/RHBA-2014-1444.html

Updated python-virtinst package that fixes several bugs and add various
enhancements are now available for Red Hat Enterprise Linux 6.

virt-install / virt-manager のBugFixとエンハンス

2015年1月7日水曜日

[Xen-users] Xen Security Advisory 116 (CVE-2015-0361) - xen crash due to use after free on hvm guest teardown

[Xen-users] Xen Security Advisory 116 (CVE-2015-0361) - xen crash due to use after free on hvm guest teardown
http://lists.xen.org/archives/html/xen-users/2015-01/msg00032.html

VULNERABLE SYSTEMS
==================
Xen versions from 4.2 onwards are vulnerable on x86 systems.
ARM systems are not vulnerable.
HVM関連はぽろぽろ出てきますね・・・
Xen4.2 onwardsが対象ですが。