ОколоITшный дыбр #59
... Первое июля оказалось на удивление щедрым на разновсяческие уязвимости.
Во-первых, критическая дырка в OpenSSH-server под Linux, позволяющая Remote Code Execution с правами суперпользователя. Подвержены Linux-системы с версиями OpenSSH от 8.5 до 9.7 включительно. На практике это весь стабильный Debian 12 как минимум. Фикс уже выпустили. Вчера долго и мучительно вспоминал что у меня торчит SSH-ем в интернет чтобы обновить в первую очередь. Надеюсь, что ничего не забыл. Кстати, на днях вышел Debian 12.6. Но фикса SSH-сервера в нем ещё нет, надо до-накатывать из security-репозитория.
Во-вторых, DoS-уязвимость в Juniper SRX. Тут конечно попроще потому что у меня таких свежих прошивок нигде нет, гыгыгы. Кстати, пользуюсь случаем, хочу поклянчить свежие фирмвари для SRX 300. Поделитесь позязя у кого есть. Ну позяяя-зя!
И да, этот SRX выпил у меня ещё литр крови. Мудохался несколько дней, не понимал почему он не хочет принимать входящее подключение по IKE с отлупом NO_PROPOSAL_CHOSEN. Уже перебрал все варианты, и дебаг-логи включил, кучу документации перерыл. В конце концов выяснилось, что я банально bind-интерфейс "внутреннего конца" не привязал ни к одной security zone, поэтому этот инстанс динамического IKE-соединения хоть и был прописан в конфиге, никаких ошибок не выдавал, но просто молча не стартовал. И увидеть "настоящую" причину можно ровно в одном совершенно нелогичном месте, причем отнюдь не в логах. Обнаружил случайно. Сцуко, usability традиционно просто на грани фантастики.
... Сцука Google Chrome начиная со 115-й версии включил пидорский режим "HTTPS Only". И это не считая (а в дополнение) к HSTS Preload List. Если "взрослый десктопный" браузер еще можно как-то "уговорить" на "голый" HTTP, то вот андроидный - хренъ, причем не помогает даже соответствующий "рубильник" в настройках: он просто игнорируется. Слава трансцендентным сущностям, пока ещё работает 302-редирект с HTTPS на HTTP со стороны веб-сервера. Но чувствую, и это тоже корпорация добра скоро прикроет. Смешно, но я не один такой страдающий по HTTP. А вы спрашиваете почему я пользуюсь в основном FireFox-ом...
... Таки смог прошить M5110 в HBA-режим так, что его зохавал HP Microserver Gen 8. Но дальше возникла следующая печалька. Со старыми 2-терабайтными жесткими дисками он более-менее нормально работает, новые 4-терабайтные не заводятся. Издают странные звуки на старте как будто PC Speaker попискивает и никуда "не едут". Судя по симптомам, в блоке питания высохли выходные сглаживающие конденсаторы. Материнка ещё как-то трудится на таком нестабильном напряжении, а новые свежие "веники" уже отказываются раскручиваться. Точнее, раскручиваются и понимают что не могут запустить процессор, после чего сразу останавливаются. Можно конечно перепаять эти кондеи, но я уже давно решил собрать новый сервак...
... Для чего прикупил на барахолке вот такую платмату и CPU к ней.
... И еще корпусок, не низок, не высок. Стандарта miniITX под 4 HDD, но в него можно запихнуть "обычный" ATX-блок питания.
... Впрочем, меня это всё равно не особо спасёт. Потому что платмата "промышленная" и хочет "нестандартного" напряжения 15...36 вольт. Вот я думаю теперь что делать. То ли пытаться засунуть в корпус два блока питания. То ли блок питания и дополнительный DC-DC преобразователь. То ли провести "доработку" ATX-ового блока питания на удвоение напряжений по всем линиям путём перепайки регулировочных резисторов. Но в последнем случае 5 вольт для питания жестких дисков придется снимать с самой матплаты. На ней для этого даже предусмотрен специальный molex-разъем, но стоит ли так делать, я чё-то сильно сомневаюсь.
... Мегамаркет жжот напалмом. В одну из посылок не положили заказнный товар. То есть в заказе было три позиции, реально приехали две. Я открыл диспут, теперь мне предлагают вернуть им в пункт выдачи тот самый предмет, который мне не привезли. А техподдержка отсутствует как таковая, смотри скриншоты (кликабельные).
Я с них тихо шизохренею. Неужели эту систему ну вообще никто ни разу не отлаживал? А для себя сделал два вывода.
- Любые отправления от них нужно распаковывать только под видеозапись, всегда, иначе потом хрен докажешь что не верблюд.
- В России есть только один цифровой маркетплейс, на котором можно что-то покупать, и это точно не Мегамаркет, не ягоды и не Яндекс.
... Поделка по программе лояльности Сбера тоже не отстает по уровню кретинизма. Предложил мне пройти какой-то опрос на тему "насколько вам удобно контролировать ваш баланс спасибов". На самом деле ни разу не удобно, потому что там тоже всё кривое и черезжопное. Но перед опросом мне предложили согласиться, что он весь насквозь конфиденциальный, и что я обязуюсь возместить какие-то там ущербы если вдруг разглашу какую-то информацию, полученную в ходе этого опроса (лолшто?).
Естественно, пошли бы они в жопу с такими волшебными опросами. Я тут же закрыл браузер. Бл**ь, кто всё это придумывает, у него / неё мозги вообще есть? Вопрос риторический.
Всем удачных покупок и денег на их совершение. А ещё срочно бегите обновлять свои SSH-сервера, если оные торчат в интернет.