HP, Browser[censored], TLS1

Heute war wieder so ein Tag.

Screenshot

Super, die Se­cu­ri­ty-Nazis ha­ben mal wie­der zu­ge­schla­gen, oh­ne Rück­sicht auf Ver­lus­te :-(

So ein HP Proliant der Ge­ne­ra­tion 7 ist nicht gerade das Neueste, die Schät­ze ha­ben auch schon so 7 Jahre auf dem Buckel. Als Hard­ware-Ar­chä­olo­ge bin ich der­lei natür­lich ge­wohnt; was aller­dings un­ge­wohnt war, das war die An­zeige des Browsers, daß zum iLO3 – dem kleinen ein­ge­bau­ten Fern­wartungs­rech­ner – keine SSL-Ver­bindung auf­ge­baut wer­den könne. Aus Sicher­heits­grün­den (sic!) werden un­ver­schlüs­sel­te auf ver­schlüs­sel­te Zu­griffe um­ge­lenkt, und aktuelle Browser aus dem Jahr 2016/2017 ver­wei­gern den Zu­griff auf die, wie sich her­aus­stel­len sollte, 2010er iLO3-Firmware. Und alle so: WTF?!

Screenshot

So ein Zu­fall … Al­te iLO-Firm­ware, moder­ner Browser: major fuck­up.

Wie geht der alte Spruch? »Ein sicheres System ist eins ohne Netzwerk« — insofern hat die Abschaltung von TLS 1.0 in Browsern durchaus zu einen Verbesserung der Sicherheit geführt: ich kann nicht einmal mehr das unsichere System besuchen, um ein Firmwareupdate zu installieren. Tolle Wurst, vielen Dank auch!

Aber, wie gesagt, ganz neu ist mir derlei ja nicht, uns so fliegt auch immer eine gut abgehangene VM irgendwo rum, die vielleicht voller Sicherheitslücken steckt, dafür aber auch den operativen Vorteil hat, einfach das zu tun, was man von ihr verlangt: Verbindungsaufbau zum System der Wahl einfach durchzuführen.

Screenshot

Und wenn die Leu­te mich auch be­lächeln, ›his­to­ri­sche‹ Brow­ser im Zu­griff zu hal­ten — ich weiß, warum ich das tue!

In diesem Falle mußte ein Firefox der 3er Serie her, um die iLO-Firmware aktualisieren zu können. Und das war dann auch (fast) ein Kinderspiel — leider hatte auch HP noch eine bescheidene Überraschung parat:

Re: PROBLEM UPGRADE FIRMWARE ILO 3 on HP PROLIANT DL 380 G7

If you click on the link for the Update itself (The text on the left) or on the 1.57 link or even the older 1.55 version, you are then taken to the page to download it. From there, click Revision History and scroll down until you find 1.28(B) and click THAT link (1.28 is a hyperlink).

Here’s the Link to the page with the 1.28 (B) download that worked for me. If that doesn’t work, do a google search for cp016892.exe and the first result will send you to the site i linked above.

I just had to do this as we had some that were still on 1.10 and 1.16 and could not figure out why I couldn’t update to 1.65

Glad I found this post about needing to go to 1.28 first.

Screenshot

Zwischen­up­date auf 1.28 ist not­wen­dig :-(

cp016892.exe ist das Suchwort (ist per unzip unter Linux auspackbar), da findet sich die magische iLO3-Firmware 1.28 drin, mit welcher als Zwischenversion endlich auch die aktuelle 1.88 auf das System gelangte. Ab 1.28 tun dann auch moderne Browser wieder, wobei in Firefox 47 die Frames der iLO3-Oberfläche i.d. R. manuell neu zu laden sind, um die Inhalte sehen zu können … In 1.88 fehlen in Firefox 3 gleich die Loginfelder — gut, eine Minimalversion vorauszusetzen, damit kann ich umgehen.

Screenshot

Let’s do the time-warp again!

Aber dieses »wir schalten die Rückwärtskompatibilität jetzt bewußt und unwiderruflich ab«, davon halte ich gar nichts. Denen, die solche Entscheidungen treffen, wünsche ich, im wirklichen Leben mal davon getroffen zu werden: In sengender Sonne am Samstag nachmittag mit den Einkäufen vor dem Auto stehend, öffnet sich dieses nicht, sondern meldet lapidar: »Ihr Fahrzeugschlüssel ist älter als 7 Jahre, aus Sicherheitsgründen wird Ihnen der Zugang zu diesem Fahrzeug verwehrt. Bitte fahren Sie mit dem Fahrzeug in das Herstellungswerk, wo ihnen ein aktueller Schlüssel persönlich übergeben wird.« Oder sowas in der Art.

Gnampf! Wieder Lebenszeit sinnlos vergeudet. (Nein, leider, eine DL360 Gen10 für den Privatgebrauch neu anzuschaffen ist finanziell einfach keine Option :-()