SDLab

SDLab
SDLab.org::Adminな脳み

2015年11月5日木曜日

XenServer Dundee Beta 1 Available

XenServer Dundee Beta 1 Available
http://xenserver.org/blog/entry/xenserver-dundee-beta-1-available.html


いまさらながらにDUNDEEの確認。



  • CentOS7ベースに。
  • XapiをCgroups制御から分離。
  • RBAC(ロールベースアクセスコントロール)がPowerBroker Openに変更
    • http://www.powerbrokeropen.org/
  • DOM0の狭小のDiskスペースが、18GBに。
  • FCoE(Fiber Channel over Ethernet)やNFSv4 サポート。
  • UEFI BOOT対応。
  • AUTOMATIC HEALTH CHECK
    • 自動的にServerStatusReportをTaaS(自動でログを解析してくれるCitrixのサイト)にアップしてくれる
  • パッチマネージメント
    • Citrixに接続しに行ってパッチを探してくれるって。しかもインストールが完了したパッチは、自動的にClean-upしてくれるって。便利。


2015年8月20日木曜日

Vulnerability in Citrix XenServer Could Result in Information Disclosure


Vulnerability in Citrix XenServer Could Result in Information Disclosure

落ち着かないHVMの話。
パッチも出てたので更新しておきました。
XenServer6.2 SP1 のパッチリスト (2015/8/20 時点)

2015年8月15日土曜日

pygrub と eliloader

なんだろね。これ。

XenServer5.6SP2 のPVをXVAにExportして、
XenServer6.5SP1 にIMPORTしたら、
「Error 13: Invalid or unsupported executable format」
とエラーになり起動しない。

xe vm-param-list uuid=***************
で確認したら、
PV-bootloader ( RW): eliloader

え?pygrubがeliloaderになってる。
XenServer6.2SP1 にも同じXVAをIMPORTしたら同じ現象だった。
XenServer5.6SP2 からのEXPORTに問題があったっぽいけど・・・なんだろうね。

xe vm-param-set uuid=*************** PV-bootloader=pygrub
で無事に起動。

2015年8月4日火曜日

QEMUの不具合2件

どっちもPVは影響受けません。


[Xen-users] Xen Security Advisory 139 (CVE-2015-5166) - Use after free in QEMU/Xen block unplug protocol
http://lists.xen.org/archives/html/xen-users/2015-08/msg00008.html

ISSUE DESCRIPTION
=================
When unplugging an emulated block device the device was not fully
unplugged, meaning a second unplug attempt would attempt to unplug the
device a second time using a previously freed pointer.
IMPACT
======
An HVM guest which has access to an emulated IDE disk device may be
able to exploit this vulnerability in order to take over the qemu
process elevating its privilege to that of the qemu process.




[Xen-users] Xen Security Advisory 140 (CVE-2015-5165) - QEMU leak of uninitialized heap memory in rtl8139 device model
http://lists.xen.org/archives/html/xen-users/2015-08/msg00009.html

ISSUE DESCRIPTION
=================
The QEMU model of the RTL8139 network card did not sufficiently
validate inputs in the C+ mode offload emulation. This results in
uninitialised memory from the QEMU process's heap being leaked to the
domain as well as to the network.
IMPACT
======
A guest may be able to read sensitive host-level data relating to
itself which resides in the QEMU process.
Such information may include things such as information relating to
real devices backing emulated devices or passwords which the host
administrator does not intend to share with the guest admin.

2015年7月28日火曜日

Citrix XenServer Security Update for CVE-2015-5154

Citrix XenServer Security Update for CVE-2015-5154

  • CVE-2015-5154: QEMU heap overflow flaw while processing certain ATAPI commands
Customers that only have PV guests deployed are not at risk.
PV Guestには影響は無いようです。

Patchはでてます。


Hotfix XS65ESP1008 - For XenServer 6.5.0 Service Pack 1

Hotfix XS62ESP1030 - For XenServer 6.2.0 Service Pack 1


2015年7月21日火曜日

This reduces the VM downtime

CP-11841: 
vm-migrate downtime: plug the VIFs of the new domain before suspending the old domain
https://github.com/xapi-project/xenopsd/pull/205

This reduces the VM downtime (when both old and new domains are paused) in 0.3s
for each VIF connected to the VM.

ダウンタイムの削減。

2015年7月8日水曜日

Xen Security Advisory 137 (CVE-2015-3259) - xl command line config handling stack overflow

[Xen-announce] Xen Security Advisory 137 (CVE-2015-3259) - xl command line config handling stack overflow
http://lists.xen.org/archives/html/xen-announce/2015-07/msg00000.html

xlコマンドのoverflow不具合。
実行できる人が限定的なので、影響は少ないね。

2015年7月7日火曜日

Hotfix XS65ESP1005 - For XenServer 6.5.0 Service Pack 1

Hotfix XS65ESP1005 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX201514
HostをCrashさせる不具合を修正
・VBD をplug/unplug
・Netback
・Serial Console
・受信したNetworkTraffice


これまでのPatchは下記を参照
XenServer6.5 SP1 のパッチリスト
http://mada0833.blogspot.jp/2015/05/xenserver65-sp1-2015520.html

2015年6月25日木曜日

Hotfix XS62ESP1028 - For XenServer 6.2.0 Service Pack 1

Hotfix XS62ESP1028 - For XenServer 6.2.0 Service Pack 1
http://support.citrix.com/article/CTX142593

Windows用のXenToolsのアップデート。
ブルースクリーンの時のCrash-Dump用ドライバの修正(そんなのがあるんだね)とか、
前のXenToolsがキレイにUninstallできない問題の修正(まだダメなのね)とか。

2015年6月15日月曜日

Citrix XenServer Multiple Security Updates

Citrix XenServer Multiple Security Updates
http://support.citrix.com/article/CTX201145

Xenの修正の反映。
 CVE-2015-4106 (Medium): Unmediated PCI register access in qemu.
 CVE-2015-4163 (Medium): GNTTABOP_swap_grant_ref operation misbehavior.
 CVE-2015-4164 (Medium): vulnerability in the iret hypercall handler
 CVE-2015-2756 (Low): Unmediated PCI command register access in qemu
 CVE-2015-4103 (Low): Potential unintended writes to host MSI message data field via qemu.
 CVE-2015-4104 (Low): PCI MSI mask bits inadvertently exposed to guests.
 CVE-2015-4105 (Low): Guest triggerable qemu MSI-X pass-through error messages


Hotfix XS65ESP1004- For XenServer 6.5.0 Service Pack 1
https://support.citrix.com/article/CTX142538


Hotfix XS62ESP1027- For XenServer 6.2.0 Service Pack 1
https://support.citrix.com/article/CTX142536

2015年6月4日木曜日

Hotfix XS62ESP1024 - for XenServer 6.2.0 Service Pack 1

Hotfix XS62ESP1024 - for XenServer 6.2.0 Service Pack 1
http://support.citrix.com/article/CTX142496

Kernelを含むアップデート。
Hotfix XS62ESP1009 の件もあるからちょっと様子見したいところ。


2015年6月3日水曜日

PCIパススルー関連の脆弱性

[Xen-users] Xen Security Advisory 128 (CVE-2015-4103) - 
Potential unintended writes to host MSI message data field via qemu
http://lists.xen.org/archives/html/xen-users/2015-06/msg00011.html


[Xen-users] Xen Security Advisory 129 (CVE-2015-4104) - 
PCI MSI mask bits inadvertently exposed to guests
http://lists.xen.org/archives/html/xen-users/2015-06/msg00014.html


[Xen-users] Xen Security Advisory 130 (CVE-2015-4105) - 
Guest triggerable qemu MSI-X pass-through error messages
http://lists.xen.org/archives/html/xen-users/2015-06/msg00012.html

[Xen-users] Xen Security Advisory 131 (CVE-2015-4106) - 
Unmediated PCI register access in qemu
http://lists.xen.org/archives/html/xen-users/2015-06/msg00013.html


共通点:
・GuestからのDoSでHostがCrashする
・PCIパススルーをサポートするXen3.3以上
・HVMのみ。


2015年5月20日水曜日

XenServer6.5 SP1 のパッチリスト (2016/2/24 時点)

現状のXenServer6.5 SP1のパッチリスト

Recommended Updates for XenServer 6.x Hotfixes
http://support.citrix.com/article/CTX138115

  • XenServer 6.5.0 SP1 適用
  • Reboot
  • Hotfix XS65ESP1001 (XenCenter)
  • Hotfix XS65ESP1012
  • Hotfix XS65ESP1018 (XenTools)
  • Hotfix XS65ESP1021 (KernelとSM/blktap)
  • Hotfix XS65ESP1022 (OpenSSL)
  • Hotfix XS65ESP1023 (SecurityFix)
  • Reboot


    すごく久しぶりに更新。推奨サイトはかなり整理されていい感じ。

    --

    Hotfix XS65ESP1001 - For XenServer 6.5.0 SP1
    http://support.citrix.com/article/CTX142447

    最近お決まりの一発目は XenCenterの更新

    Hotfix XS65ESP1002 - For XenServer 6.5.0 SP1
    https://support.citrix.com/article/CTX142483
    VENOM対応

    Hotfix XS65ESP1003 - For XenServer 6.5.0 Service Pack 1
    http://support.citrix.com/article/CTX142583
    Xentools更新(Windows)

    Hotfix XS65ESP1004- For XenServer 6.5.0 Service Pack 1
    https://support.citrix.com/article/CTX142538
    PCIまわりの修正

    Hotfix XS65E010- For XenServer 6.5.0
    http://support.citrix.com/article/CTX142537
    Security Fix

    Hotfix XS65ESP1005 - For XenServer 6.5.0 Service Pack 1
    http://support.citrix.com/article/CTX201514
    HostをCrashさせる不具合を修正
    ・VBD をplug/unplug
    ・Netback
    ・Serial Console
    ・受信したNetworkTraffice

    Hotfix XS65ESP1008 
    https://support.citrix.com/article/CTX201637
    Security Update。QEMUのATAPI関連。

    Hotfix XS65E013
    http://support.citrix.com/article/CTX201636
    CVE-2015-5154: QEMU heap overflow flaw while processing certain ATAPI commands

    Hotfix XS65ESP1009
    http://support.citrix.com/article/CTX201741
    CVE-2015-5165: QEMU leak of uninitialized heap memory in rtl8139 device model

    Hotfix XS65ESP1010
    http://support.citrix.com/article/CTX201974
    Xentools更新(Windows10とWindows向け)

    Hotfix XS65ESP1011
    http://support.citrix.com/article/CTX202074
    Intel系でPCIパススルーとかGPUパススルー使うとクラッシュする問題のFIXや
    WinのDHCP Serverを使ったときの問題やhvmloaderの問題修正など。

    Hotfix XS65ESP1012
    http://support.citrix.com/article/CTX202481
    主にxapiの不具合修正

    Hotfix XS65ESP1014
    http://support.citrix.com/article/CTX202439
    PVからHOSTをクラッシュできる脆弱性の修正など

    Hotfix XS65ESP1016
    https://support.citrix.com/article/CTX202619
    HVMからPVをクラッシュできる脆弱性の修正など

    Hotfix XS65ESP1018 
    http://support.citrix.com/article/CTX205190
    XenToolsの更新。主にWindows向け。
    (Includes XS65ESP1003 and XS65ESP1010)

    Hotfix XS65ESP1021
    http://support.citrix.com/article/CTX204053
    KernelとSM/blktapの更新。
    SoftwareRAIDへの対応。
    ShutdownしたVMのVIFのnetback(ホスト側)が残ってしまう不具合修正
    (Includes XS65ESP1005 and XS65ESP1013)

    Hotfix XS65ESP1022
    http://support.citrix.com/article/CTX205228
    * OpenSSLの更新

    Hotfix XS65ESP1023
    http://support.citrix.com/article/CTX205355
    セキュリティFIX:CVE-2016-1571 (Medium): VMX: intercept issue with INVLPG on non-canonical address (IntelCPUのみ)
    (Includes XS65E009, XS65E010, XS65E013, XS65E014, XS65E015, XS65E017, XS65E018, 
    XS65ESP1002, XS65ESP1004, XS65ESP1008, XS65ESP1009 , XS65ESP1011, XS65ESP1014, XS65ESP1016, XS65ESP1019, XS65ESP1020)


    2015年5月14日木曜日

    VENOM

    VENOM(Virtualized Environment Neglected Operations Manipulation)の件

    ◆詳細

    Crowdstrike.com
    Q+A: Learn More About VENOMhttp://venom.crowdstrike.com/

    ◆Xen

    [Xen-users] Xen Security Advisory 133 (CVE-2015-3456) - Privilege escalation via emulated floppy disk drive
    http://lists.xen.org/archives/html/xen-users/2015-05/msg00109.html


    ISSUE DESCRIPTION
    =================
    The code in qemu which emulates a floppy disk controller did not
    correctly bounds check accesses to an array and therefore was
    vulnerable to a buffer overflow attack.

    ◆XenServer

    Citrix Security Advisory for CVE-2015-3456
    http://support.citrix.com/article/CTX201078

    Description of Problem
    Citrix is aware of the recent vulnerability that has been reported against the Xen hypervisor. This issue is known as the 'VENOM' vulnerability and has been assigned the following CVE number:
    CVE-2015-3456: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
    The following sections will provide guidance to customers on the potential impact of this issue. Citrix is actively analysing the impact of this vulnerability on supported versions of Citrix XenServer. Additional details and guidance will be added to this document as soon as they are available.
    <追記 2015/5/19>

    https://securityblog.redhat.com/2015/05/13/venom-dont-get-bitten/

    VENOMでは、VM上で特定コマンドを実施することで、ハイパーバイザ上で任意のコマンドを実施できるというもの。
    ただし、Redhatとしては、特定コマンドは実施できるが、ハイパーバイザ上での実効は確認できていないとのこと。
    We believe that code execution is possible but we have not yet seen any working reproducers that would allow this.
    なお、既存のExploitは、QEMUをCrashさせるので、Segfault LOGをみてれば、その攻撃を判定できそうとのこと。

    ちなみに、影響をうけるのは、HVM(完全仮想化)なVMだけだよ。XenTools入った準仮想化VMは影響受けないらしいよ。
    まぁ、RootとられてXenTools抜かれたらやられちゃうけど。

    2015年5月13日水曜日

    XenServer6.5 SP1 リリース


    XENSERVER 6.5 SP1 RELEASED
    http://xenserver.org/blog/entry/xenserver-6-5-sp1-released.html

    主な追加機能はこんな感じ。

    • Dockerの正式サポート
    • Windows向け)GPUパススルーでのIntel GVT-dサポート
    • Linux向け)NVIDIA GPUパススルーでのOpenGL/CUDAサポート
    • XenCenterからSupplemental packが適用可能に。


    XenServer 6.5.0 Service Pack 1(Citrix)
    http://support.citrix.com/article/CTX142355

    2015年5月1日金曜日

    Docker with XenServer6.5

    Preview of XenServer support for Docker and Container Management
    http://xenserver.org/blog/entry/preview-of-xenserver-support-for-docker-and-container-management.html

    3月10日に公開されてた・・・

    PRE-RELEASE COMPONENTS - DOCKER INTEGRATION
    http://xenserver.org/overview-xenserver-open-source-virtualization/prerelease.html

    XenServer6.5用のDocker。
    Supplemental Packとして提供されている。
    PRE-RELEASE版なので、遊ぶにはちょうどいいけど、それ以外にはちょっと怖い。
    Dundeeまで待ちたいね。

    XenServer Dundee

    Introducing XenServer Dundee

    CentOS7ベースの次期XenServer 「Dundee」
    Versionとかは見てないけど、多分XenServer 7?


    DOWNLOAD - PRE-RELEASE XENSERVER
    XenServer Dundee Alpha1 がDownloadできます。

    2015年4月21日火曜日

    [Xen-users] Xen Security Advisory 132 - Information leak through XEN_DOMCTL_gettscinfo

    [Xen-users] Xen Security Advisory 132 - Information leak through XEN_DOMCTL_gettscinfo
    http://lists.xen.org/archives/html/xen-users/2015-04/msg00091.html

    VULNERABLE SYSTEMS
    ==================
    ・Xen 4.0.x 以降
    ・x86のみ

    ISSUE DESCRIPTION
    =================
    The handler for XEN_DOMCTL_gettscinfo failed to initialize a padding
    field subsequently copied to guest memory.
    A similar leak existed in XEN_SYSCTL_getdomaininfolist, which is being
    addressed here regardless of that operation being declared unsafe for
    disaggregation by XSA-77.

    IMPACT
    ======
    Malicious or buggy stub domain kernels or tool stacks otherwise living
    outside of Domain0 may be able to read sensitive data relating to the
    hypervisor or other guests not under the control of that domain.

    初期化漏れですね。


    <2015年4月23日追記>
    Xen Security Advisory CVE-2015-3340 / XSA-132  version 2
     Information leak through XEN_DOMCTL_gettscinfo
    http://lists.xen.org/archives/html/xen-users/2015-04/msg00112.html

    Version2というかアップデートパッチがでました。


    2015年4月15日水曜日

    Xen4.5の修正

    vGIC(Virtual 汎用割り込みコントローラ)の実装 for ARM
    Version2と3があるみたい。
    GICの詳細は下記
    http://www.aps-web.jp/academy/cortex-a/08/a.html 


    あとは、下記くらい。
    libxl: use new QEMU xenstore protocol

    2015年3月11日水曜日

    Windows のxentoolsの綺麗なアンインストールの仕方

    みんなが困っている Windows のXenTools
    当然Citrixからの情報なんて当てにならないのは既知の事実
    例えば、これ。

    お勧めしない情報)Unable to Install or Upgrade XenTools for Windows Virtual

    https://support.citrix.com/article/CTX139031

    信じてやると、期待を裏切らず、炎上。

    というわけで、フォーラムの投稿にフォローをいれてまとめました。
    XenServer 6.2 SP1 Tools
    http://discussions.citrix.com/topic/345962-xenserver-62-sp1-tools/page-2#entry1789111

    STEP1: Booted VM into Safe Mode


    1. セーフモードで起動
      ・msconfig のブートタブから、ブートオプション、セーフブート、最小 で適用、OK。
      ・Reboot(1回目)
    2. コントロールパネルから プログラムと機能を開き、次を「アンインストール」
      ・Windows Driver Package - Citrix Systems Inc. (xenbus)
      ・Windows Driver Package - Citrix Systems Inc. (xennet)
      ・Windows Driver Package - Citrix Systems Inc. (xenvif)
      ・Windows Driver Package - Citrix Systems Inc. (xeniface)
      ・Windows Driver Package - Citrix Systems Inc. (xenvbd)
    3. msconfig のブートタブから、ブートオプション、セーフブートのチェックを外し(正常ブート)で適用、OK。
    4. Reboot(2回目)

    STEP2: 通常起動でアンインストール


    1. コントロールパネルから プログラムと機能(プログラムのアンインストール)を開き、次を「アンインストール」
      ・Citrix Xen Windows x64 PV Drivers
      ・Citrix XenServer Tools Installer
      ・Citrix XenServer VSS Provider
      ・Citrix XenServer Windows Guest Agent
    2. Reboot(3回目)


    以上でキレイにUninstallできます!

    あとは、初期と同様にXentoolsをインストールすればOK!
    なお、この手順でやると、多分5-6回の再起動が必要です。


    <2015/5/1 追記>
    XS62ESP1020 がでた
    http://support.citrix.com/article/CTX142219
    上記の問題の修正らしい。

    2015年3月10日火曜日

    Xen Security Advisory 123 (CVE-2015-2151) - Hypervisor memory corruption due to x86 emulator flaw

    [Xen-users] Xen Security Advisory 123 (CVE-2015-2151) - Hypervisor memory corruption due to x86 emulator flaw
    http://lists.xen.org/archives/html/xen-users/2015-03/msg00037.html

    ISSUE DESCRIPTION
    =================
    Instructions with register operands ignore eventual segment overrides
    encoded for them. Due to an insufficiently conditional assignment such
    a bogus segment override can, however, corrupt a pointer used
    subsequently to store the result of the instruction.
    今度はIntel CPUが対象。

    2015年3月6日金曜日

    XenServer 5.6 SP2 のパッチ適用

    あてる必要があったので、MEMO

    対象と順番はこれで平気かな。

    xe patch-upload file-name=XS56ESP2001.xsupdate  > XS56SP2-PATCH-UUID
    xe patch-upload file-name=XS56ESP2003.xsupdate >> XS56SP2-PATCH-UUID
    xe patch-upload file-name=XS56ESP2011.xsupdate >> XS56SP2-PATCH-UUID
    xe patch-upload file-name=XS56ESP2023.xsupdate >> XS56SP2-PATCH-UUID
    xe patch-upload file-name=XS56ESP2025.xsupdate >> XS56SP2-PATCH-UUID
    xe patch-upload file-name=XS56ESP2034.xsupdate >> XS56SP2-PATCH-UUID


    上記で作った XS56SP2-PATCH-UUID にはUUIDがあてる順番に入ってるので、

            for PATCHID in `cat XS56SP2-PATCH-UUID`
            do
                echo "HOST: ${HOSTUUID} / PATCH: ${PATCHID}"
                xe patch-apply host-uuid=${HOSTUUID} uuid=${PATCHID}
            done

    ってな感じであててけば楽。
    # 前後は自分で書いてね。

    XenServer6.5 のパッチリスト (2015/5/20時点)

    <XenServer6.5SP1 がリリースされています>

    現状のXenServer6.5 のパッチリスト

    Recommended Updates for XenServer 6.x Hotfixes
    http://support.citrix.com/article/CTX138115
    には記述が無いが、
    現状は

    • Hotfix XS65E002
    • Hotfix XS65E003
    • Hotfix XS65E005
    • Hotfix XS65E007
    • Hotfix XS65E008
    • Hotfix XS65E009

    を適用し、Rebootでいいと思う。

    --

    Hotfix XS65E001 - For XenServer 6.5.0
    http://support.citrix.com/article/CTX142060

    最近お決まりの一発目は XenCenterの更新

    Hotfix XS65E002 - For XenServer 6.5.0
    http://support.citrix.com/article/CTX142059

    Windows向けXenServer Toolsの修正
    ※このPatchをあてた後、Windows VMのXenServer toolsはアップグレードを推奨

    Hotfix XS65E003 - For XenServer 6.5.0
    http://support.citrix.com/article/CTX142061

    glibcだけの修正

    Hotfix XS65E005 - For XenServer 6.5.0
    http://support.citrix.com/article/CTX142141

    Space reclamation(StorageTabで見るとReclaim freed spaceと表示される)を使った2TB以上のLUNがデータ不正になる件の修正。

    Hotfix XS65E006 - For XenServer 6.5.0
    https://support.citrix.com/article/CTX142147
    セキュリティアップデート(x86)

    Hotfix XS65E007 - For XenServer 6.5.0
    https://support.citrix.com/article/CTX142273
    セキュリティアップデート(QEMU)

    Hotfix XS65E008 - For XenServer 6.5.0
    http://support.citrix.com/article/CTX142266
    GPUパススルーの不具合修正

    Hotfix XS65E009 - For XenServer 6.5.0
    VENOM


    Hotfix XS62ESP1017 - For XenServer 6.2.0 Service Pack 1

    Hotfix XS62ESP1017 - For XenServer 6.2.0 Service Pack 1
    http://support.citrix.com/article/CTX142012

    本文を読んでもらえば最後に書いてあるように、glibcのパッケージの更新のみ。
    これだと、現時点ではあてるメリットは薄いと思ってる。

    XenServer 6.2 SP1 のパッチのまとめはこっち。

    XenServer6.2 SP1 のパッチリスト (2015/3/6時点)http://mada0833.blogspot.jp/2014/04/XenServer62SP1PatchList.html

    2015年2月23日月曜日

    Why we use OPAM for XenServer development


    Why we use OPAM for XenServer development
    https://opam.ocaml.org/blog/opam-in-xenserver/


    • manages clusters of Xen hosts with shared storage and networking
    • allows running VMs to be migrated between hosts (with or without storage) with minimal downtime
    • automatically restarts VMs after host failure (High Availability)
    • allows cross-site Disaster Recovery
    • simplifies maintainence through Rolling Pool Upgrade
    • collects performance statistics for historical analysis and for alerting
    • has a full-featured XML-RPC based API, used by clients such as XenCenter, Xen Orchestra, OpenStack and CloudStack


    xapi のインストール方法(CentOS6への)なので、メモっておきます。

    2015年2月20日金曜日

    Conver XVA to VHD

    Re: [xs-devel] covert xva to img
    https://lists.xenserver.org/sympa/arc/xs-devel/2015-02/msg00078.html

    Try something like (on 6.5 and later)
    $ xe vdi-export uuid=… filename=foo.vhd format=vhd ?progress

    XenServer6.5以降ではできるっぽい。試してないけど。

    2015年2月13日金曜日

    Hotfix XS65E001 - For XenServer 6.5.0

    Hotfix XS65E001 - For XenServer 6.5.0
    http://support.citrix.com/article/CTX142060

    XenCenterの修正。
    GPUタブの修正とかvGPU設定とか、Rolling Pool Upgrade時のStaticIPが失敗するとか、WLBの修正とか。

    2015年2月2日月曜日

    Power Settings in XenServer 6.5: C-states, Turbo and CPU Frequency Scaling

    Power Settings in XenServer 6.5: C-states, Turbo and CPU Frequency Scaling

    This article explains changes introduced in XenServer 6.5 to the handling of power settings and describes how users with specific needs can change the configuration.
    XenServer's default power settings are optimal for most users, so do not normally need to be modified.
    In its default configuration, XenServer 6.5:
    * uses all available C-states regardless of BIOS settings,
    * uses the "performance" CPU frequency governor for Intel processors and the more power-friendly "ondemand" CPU frequency governor for AMD processors, and
    * uses frequency scaling and Turbo mode as controlled by the BIOS settings.
    It is recommended to use XenServer's default configuration and to enable OS-controlled frequency scaling and Turbo mode in the BIOS.
    えー C-statesの設定戻すのめんどくさい。
    ちなみに、XenServer6.2SP1以前は、C-states はDisable推奨というか必須だったはず。

    2015年1月29日木曜日

    XenServer 6.5 と Software RAID

    Software RAID (mdadm) on XenServer 6.5 unexpected failure
    http://discussions.citrix.com/topic/360943-software-raid-mdadm-on-xenserver-65-unexpected-failure/

    XenServer 6.5 do not load soft raid kernel modules on boot. (See comments by Roland Monday on this article).

    My solution is:
    1. Create file /etc/sysconfig/modules/raid.modules with needed modules
    # echo "modprobe raid1" > /etc/sysconfig/modules/raid.modules
    you can add lines for another raid level (raid0 or raid10 for example)

    2. Make this file executable
    # chmod +x /etc/sysconfig/modules/raid.modules

    3. Reboot.

    PS: I do not know will this changes survive after installing patches

    読んでの通り、XS6.5は ソフトウェアRAID のKernel ModuleをBoot時に読み込まないので、
    読み込んでから、mdadm --create しろという話し。

    glibc GHOST Vulnerability と XenServer

    Citrix Security Advisory for glibc GHOST Vulnerability (CVE-2015-0235)
    http://support.citrix.com/article/CTX200391

    Citrix XenServer: Analysis into the impact of this issue on XenServer is in progress. XenServer does include a vulnerable version of glibc but at present there is no known route by which a guest virtual machine would be able to invoke the vulnerable functionality through the hypervisor interface. Analysis of this is still in progress and this section will be updated when additional information is available.

    調査中だけど、まぁ大丈夫じゃね?って感じ。
    なお、私的には下記に同意。

    Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を
    http://blog.trendmicro.co.jp/archives/10818

    最後に、この脆弱性が対象とする関数「gethostbyname*()」はすでに古いものとなっています。これらの関数は IPv6アドレスに対応していないため、多くの新しいアプリケーションでは、この脆弱な関数「gethostbyname*()」ではなく、IPv6 をサポートする関数「getaddrinfo()」を使用しているものと考えられます。
    以上を考慮すると、「GHOST」を狙った実際の攻撃による危険性は、「Shellshock」や「Heartbleed」などの脆弱性と比較すると低いものになっています。

    下記のメジャーどころは影響受けない。
    Re: Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow
    http://seclists.org/oss-sec/2015/q1/283

    apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,
    nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,
    pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,
    vsftpd, xinetd.

    でも古いのは影響受ける場合がある。
    http://www.openwall.com/lists/oss-security/2015/01/27/9
    ProcmailとかEximとかは影響をうける。

    2015年1月21日水曜日

    [Xen-users] Xen Security Advisory 109 (CVE-2014-8594) - Insufficient restrictions on certain MMU update hypercalls

    [Xen-users] Xen Security Advisory 109 (CVE-2014-8594) - Insufficient restrictions on certain MMU update hypercalls
    http://lists.xen.org/archives/html/xen-users/2015-01/msg00120.html

    Xen4.0以上のIntel系は対応が必要なので、そのうちXenServerのPatchも出るでしょう。

    LINEを利用までの長い道のり

    LINEが必要だ、さっさと入れろと迫られて、
    今までは断ってたのだが、断れない状況になったので専用端末を用意して対応することにした。

    2015年1月9日金曜日

    Hotfix XS62ESP1016 - For XenServer 6.2.0 Service Pack 1

    Hotfix XS62ESP1016 - For XenServer 6.2.0 Service Pack 1
    http://support.citrix.com/article/CTX141779

    新機能:

    • Supports the firmware of Dell EqualLogic 7.x arrays with Integrated StorageLink (iSL).
    • Contains improvements for generating crash dump files.


    iSLのサポートって無くなってた気がするが、復活したの?よくしらないけど。

    Hotfix:

    • Migration時の動作や、SM関連の修正。お、早速試してる。


    含まれるPATCH:

    • XS62ESP1002
    • XS62ESP1004
    • XS62ESP1008
    • XS62ESP1011
    • XS62ESP1013
    • XS62ESP1015


    あて方は、XS62ESP1015の置き換えていいと思う。

    2015年1月8日木曜日

    python-virtinst bug fix and enhancement update on RHEL6

    python-virtinst bug fix and enhancement update
    https://rhn.redhat.com/errata/RHBA-2014-1444.html

    Updated python-virtinst package that fixes several bugs and add various
    enhancements are now available for Red Hat Enterprise Linux 6.

    virt-install / virt-manager のBugFixとエンハンス

    2015年1月7日水曜日

    [Xen-users] Xen Security Advisory 116 (CVE-2015-0361) - xen crash due to use after free on hvm guest teardown

    [Xen-users] Xen Security Advisory 116 (CVE-2015-0361) - xen crash due to use after free on hvm guest teardown
    http://lists.xen.org/archives/html/xen-users/2015-01/msg00032.html

    VULNERABLE SYSTEMS
    ==================
    Xen versions from 4.2 onwards are vulnerable on x86 systems.
    ARM systems are not vulnerable.
    HVM関連はぽろぽろ出てきますね・・・
    Xen4.2 onwardsが対象ですが。