dolezel.net

Co není v hlavě, je v blogu...

Jak aktualizovat VMware vSphere Hypervisor free

V poslední aktualizaci ESXi 5.1 se objevila oprava jednoho typu síťové karty pro W2008R2. Tak jsem si řekl, že by bylo na čase prozkoumat, jak hypervisor aktualizovat v případě, že se jedná o free verzi, tedy bez možnosti použít Update Manager. Více...

Java 7 update 11

Oracle před pár hodinami uveřejnil update 11, který opravuje široce zneužívanou chybu, o které se v poslední době psalo. Chyba byla tak závažná, že se na internetu objevovaly postupy, jak do doby zveřejnění opravy podporu Javy v prohlížečích vypnout. Zajímalo mne, jestli se chyba týká i mnou dosud používané verze Java 6. Na Internetu se dá najít vyjádření expertů, kdy jeden říká, že tato chyba existovala roky, druhý zase, že se jedná o nově objevenou zranitelnost v objektu, který byl přestaven poprvé v Java 7. Tak nevím.

Dle tohoto blogu bude podpora veřejných aktualizací pro Java 6 ukončena v únoru 2013. Pak bude bezpečnější už opravdu přejít na verzi 7.

Další články:

http://www.lupa.cz/zpravicky/derava-java-je-siroce-zneuzivana-pro-utoky/

http://krebsonsecurity.com/2013/01/what-you-need-to-know-about-the-java-exploit/

Aktualizace 14.1. 13:05:

Java 6 zneužívanou chybu dle všeho vskutku neobsahuje - http://www.zdnet.com/apple-oracle-move-quickly-to-mitigate-java-security-flaw-7000009755/.

Aktualizace 14.1. 23:05:

Tohle vypadá na pěknou habaďuru – narychlo připravený hotfix prý nic neřeší. Skoro to vypadá, že programátoři měli nůž na krku – buď “něco” vydají, nebo letí. Tak vydali – placebo, ale bez efektu.

http://betanews.com/2013/01/14/java-7-update-11-security-patch-fixes-nothing/

Takže ačkoliv jsou tam určitě jiné díry, já osobně zůstávám u Java 6 update 38, ve které tato konkrétní zranitelnost není.

Korektní ukončení IIS

Mnohokrát se mi stalo, že IISRESET skončil ztrátou konfigurace, kterou jsem těsně předtím upravoval. Dnes mi to už nedalo a tak jsem se, jako poslední možnost, podíval do nápovědy. A ejhle, ono v ní opravdu něco napsaného je Veselý obličej 

V případě, že zadám pouze IISRESET /NOFORCE, dám sice příkaz k nenásilnému ukončení IIS služeb. Jenže to většinou končí těmito chybami:

Attempting stop...
Restart attempt failed.
The requested control is not valid for this service. (2147943452, 8007041c)

Attempting stop...
Stop attempt failed.
The service did not respond to the start or control request in a timely fashion.
(2147943453, 8007041d)

Zajímavým je nicméně parametr /TIMEOUT:x, kde x je počet sekund. V případě pokynu pro restart je to standardně hodnota 20 sekund, pokud má jít o zastavení služby, je standardně nastaveno 60 sekund.

Takže bezpečným  příkazem by měla být tato konstrukce:

IISRESET /STOP /NOFORCE /TIMEOUT:120

Teprve po bezpečném zastavení, kdy mám jistotu, že bylo vše korektně uloženo, zadám

IISRESET /START

WLW a BE.NET

Tohle si sem už musím napsat. Pokaždé, když konfiguruji novou instalaci Windows Live Writeru vůči BlogEngine.NET aplikaci, která mi běží na serveru, nakonfiguruji to napoprvé blbě.

Takže pro příště – URL, které se musí zadat, je http://dolezel.net/metaweblog.axd, nikoliv pouze http://dolezel.net/. Tím dojde k vyžádání potvrzení typu blogovací služby, kde vyberu Metaweblog API. Takto nakonfigurovaný WLW korektně ukládá obrázky ze článků na server.

Exchange NDR a jejich význam

Řešil jsem dnes záhadnou stížnost na nedoručení pošty u Exchange 2003. Dohledal jsem, že mail měl být doručen lokálně na back-end serveru – a vzápětí bylo odesláno NDR. V tu samou dobu bylo do Eventlogu zapsáno ID 3030 od MSExchangeTransport a v Description bylo uvedeno, že se jedná o status code 5.6.3. Poté, co jsem si našel tabulku s kódy, jsem zjistil, že se cílový server bránil příjmu e-mailu s více než 250-ti přílohami. Více...

Nefunkční vzdálené připojení Server Managerem

Nabil jsem si ústa s Windows Server 2008 R2 Core edicí, která byla nakonfigurována pro vzdálenou správu pomocí nástroje CoreConfig2. Při každém pokusu o připojení se objevila tato chyba: Více...

Změna certifikátu na serveru, kde je IIS i SSTP VPN

V případě, že na IIS serveru (pro zjednodušení uvažuji jednu NIC, jednu IP adresu, žádný Apache či jiný non-IIS HTTP server) změním adresu, je potřeba opravit i konfiguraci SSTP. Při prvním kliknutí na záložku Security (Zabezpečení) ve vlastnostech RRAS serveru dostanu toto chybové hlášení: Více...

SBS2011, resp. Exchange 2010 a export mailboxu do PST ze zálohy

Peklo na zemi. Zálohy prováděné Windows Backupem. Víc snad už nemám sílu psát. Více...

SSTP VPN nouzové připojení v SBS 2011

SBS 2011 obsahuje průvodce pro konfiguraci VPN. Nakonfiguruje ale pouze PPTP VPN, tj. variantu, která pracuje s TCP/1723 a GRE protokolem (IP 41). Rozjíždět L2TP/IPSec VPN na SBS 2011 je peklo, protože uživatelé by byli ztraceni kvůli certifikátům. IKEv2 je zase omezené pouze na klienty Windows 7,8. Alternativou tak je SSTP VPN, dostupná od Windows Vista. Tento typ VPN nelze nakonfigurovat přes žádného SBS průvodce, ale hezky klasicky.

Problémem ale je, že standardní instalace SBS 2011 vytvoři certifikační autoritu, jejíž veřejný klíč nikam veřejně nevystaví (takže je nutné jej pro funkčnost SSTP VPN na VPN klientovi naimportovat do Trusted Root CA počítače) a navíc všem vydaným certifikátům dává CRL Distribution Points pouze v AD, tj. LDAP. To je při přístupu na SSTP server z Internetu nanic, VPN klient dostane chybovou hlášku o nemožnosti zkontrolovat revokační list. Dočasným řešením je tak na VPN klientovi dočasně zakázat ověřování revokace certifikátu SSTP serveru. Více...

Windows 8 a zálohování

Ve Windows 8 je zálohování, jaké známe z Windows 7, naprosto ukryto. A zdůvodnění? To je neuvěřitelné: “… this function is being deprecated and will not be updated. It was rarely used and its functionality has been replaced by the new File History feature.” To si v Microsoftu opravdu myslí, že zálohování bylo dobré jen na soubory? Co komplet nastavení systému? Vím, že se dají synchronizovat nastavení pod Microsoft Account, ale pochopitelně jsou aplikace, které nejsou od Microsoftu a takhle nefungují.

V tomto článku, který popisuje File History, jdou ve vysvětlování důvodů ještě kousek dál: “Our telemetry shows that less than 5% of consumer PCs use Windows Backup and even adding up all the third party tools in use, it is clear nowhere near half of consumer PCs are backed up.

Přiznám se, že tomuhle moc nerozumím. Cost-cutting je všudypřítomný, ale takhle extrémně? Těch ubohých 5 procent uživatelů je tak odkázáno na produkty třetích stran, případně na dumání, jak umožnit zálohování a la Windows 7, ovšem za cenu znefunkčnění File History.

Co bude další na řadě? Udělá si Microsoft průzkum, že necelá desetina uživatelů používá ACL a zbytek se spokojí s Everyone Full Control?