все новости по филиалам
Поиск
We added new capacity in Francfort, DE. Ready to add new 100G
164.132.0.0/16
Новый сервер HGR-AI с 4x NVIDIA L40S 80GB
www.ovhcloud.com/en-ie/bare-metal/high-grade/hgr-ai-2/
2x AMD Epyc 9354 64c/128t 3.25GHz/3.8GHz
384GB DDR5 ECC 4800MHz
2× 3.84TB SSD NVMe Soft RAID
100Gbit/s unmetered and guaranteed
2x NVIDIA L40S 80GB or 4x NVIDIA L40S 80GB
2x AMD Epyc 9354 64c/128t 3.25GHz/3.8GHz
384GB DDR5 ECC 4800MHz
2× 3.84TB SSD NVMe Soft RAID
100Gbit/s unmetered and guaranteed
2x NVIDIA L40S 80GB or 4x NVIDIA L40S 80GB
Мы меняем всю инфраструктуру маршрутизации vRack
Мы меняем всю инфраструктуру маршрутизации vRack, которая поставляется с IPv6, а также BGP между серверами в vRack
labs.ovhcloud.com/en/additional-ipv6-with-vrack/
Откройте для себя дополнительный IPv6!
Ключевые преимущества
Воспользуйтесь преимуществами стандарта адресации IPv6:
Пример архитектуры
Ниже мы представляем пример конфигурации для IP-блока, объявленного из региона RBX в Интернет, который затем используется в vRack для определения количества хостов и некоторых виртуальных машин на них.
В таком примере конфигурации также представлены делегирование подсети (на виртуальную машину) и подход к межрегиональному подключению.
labs.ovhcloud.com/en/additional-ipv6-with-vrack/
Откройте для себя дополнительный IPv6!
- Дополнительный IPv6 позволяет вам более гибко предлагать услуги с использованием интернет-протокола нового поколения.
- Меньшая задержка в собственных сетях IPv6. Получите выгоду от новейших сетей провайдеров, которые оснащены собственной адресацией IPv6, где службы IPv4 могут добавлять накладные расходы.
- Сценарии аварийного переключения Dualstack. Использование протокола VRRP внутри сети vRack позволяет создать кластер настроек высокой доступности на разных машинах или в разных местах для обоих: настроек IPv4 и IPv6.
- Бесплатные IPv6-адреса. Снизьте стоимость вашей инфраструктуры в больших масштабах!
- Иерархическая маршрутизация подсетей. Благодаря возможности маршрутизировать подсети по IPv6-адресу следующего перехода вы теперь можете делегировать целые диапазоны своим клиентам, размещенным внутри данной сети vRack.
Ключевые преимущества
Воспользуйтесь преимуществами стандарта адресации IPv6:
- Большое адресное пространство, предлагающее практически безграничные возможности адресации интернет-сервисов.
- Надежность и меньшая задержка
- Предлагает встроенную автоматическую настройку IP без необходимости использования DHCP (протокол динамической конфигурации хоста).
- Гибкие конфигурации для разных линеек продуктов и регионов.
- Возможность настройки сценариев мгновенного переключения при сбое для двойного стека (с использованием VRRP).
- До 5 Гбит/с исходящей общедоступной пропускной способности на регион
Пример архитектуры
Ниже мы представляем пример конфигурации для IP-блока, объявленного из региона RBX в Интернет, который затем используется в vRack для определения количества хостов и некоторых виртуальных машин на них.
В таком примере конфигурации также представлены делегирование подсети (на виртуальную машину) и подход к межрегиональному подключению.
Регион-3AZ
SecNumCloud / Baremetal / Регион-3AZ
2 блока «0» SNC, участвующих в GRA: 2+ блока с серверами «Плоскости управления» с HSM, KMS, Observabilité, «Spine» Network & Network Services.
Настройте раздел для RBX и SBG. 3 сайта соединены ансамблем через сеть (шифр).
Эти 3x 2 блока создают плоскость управления, которая развертывается, и образуют плоскость управления + плоскость данных для клиентов SNC. 4 дивана-кровати / KMS для демонстрации сервера SNC для клиента и 5 диванов для VM, S3, DBaaS, IA и т.д. На фото: 3 дивана-кровати (HSM+2 KMS).
2 блока «0» SNC, участвующих в GRA: 2+ блока с серверами «Плоскости управления» с HSM, KMS, Observabilité, «Spine» Network & Network Services.
Настройте раздел для RBX и SBG. 3 сайта соединены ансамблем через сеть (шифр).
Эти 3x 2 блока создают плоскость управления, которая развертывается, и образуют плоскость управления + плоскость данных для клиентов SNC. 4 дивана-кровати / KMS для демонстрации сервера SNC для клиента и 5 диванов для VM, S3, DBaaS, IA и т.д. На фото: 3 дивана-кровати (HSM+2 KMS).
Перенос всех MXplan с Exchange на Zimbra
Вчера вечером мы перевели наших первых клиентов на нашу совершенно новую инфраструктуру Zimbra с SMTP/POP/IMAP (S) и ActiveSync.
Следующие шаги:
- Перенос всех MXplan с Exchange на Zimbra.
- Запуск стартового публичного предложения Zimbra (бета-версия в июне и общедоступная версия в сентябре).
первый запущен
Не стесняйтесь тестировать
Backdoor in xz/liblzma (CVE-2024-3094)
29 марта Андрес Фройнд, разработчик Postgres, работающий в Microsoft, обнаружил, что время ответа при аутентификации в openSSH в установке Debian Sid было примерно на 500 мс больше, чем обычно. Он исследовал поведение и пришел к выводу, что liblzma, часть библиотеки xz, была скомпрометирована сложным бэкдором, внедренным в дистрибутивы во время сборки. Затронуты версии библиотеки 5.6.0 и 5.6.1. Дальнейшие расследования привели к обнаружению тщательно продуманного сценария атаки на цепочку поставок. Судя по всему, в команду сопровождающих в течение длительного периода времени (несколько лет) проникли злоумышленники.
История этого бэкдора заслуживает глубокого анализа, который здесь не по теме, но вызывает массу вопросов у open-source-сообществ и всего ИТ-сектора.
Какие системы затронуты?
Поскольку уязвимость была обнаружена за относительно короткое время, ни один крупный дистрибутив еще не интегрировал эти версии библиотеки XZ.
Только дистрибутивы с очень быстрыми темпами интеграции программного обеспечения (постоянные выпуски, тестирование, так называемые «нестабильные») интегрировали поврежденную версию во время обнаружения.
Каковы риски для клиентов OVHcloud?
Это не повлияет ни на один образ Linux, предоставленный OVHcloud клиентам для автоматической установки. Таким образом, ни один клиент не должен быть уязвим для этого бэкдора, используя изображения, предоставленные OVHcloud.
В некоторых случаях в вашей системе мог быть установлен бэкдор:
Бэкдор довольно сложен, поэтому даже в этом случае вы могли бы развернуть поврежденную версию библиотеки XZ, но ваша система не была бы фактически уязвима. Дополнительную информацию см. на странице рекомендаций по безопасности вашего дистрибутива/программного обеспечения.
Как я могу проверить, использую ли я защищенную версию библиотеки?
Проверьте вашу активную версию библиотеки XZ:
Примечание. Команда «xz -V» даст аналогичный результат. Однако не рекомендуется выполнять двоичный файл, который может быть скомпрометирован.
Убедитесь, что активная версия библиотеки XZ не входит в число известных уязвимых (5.6.0 и 5.6.1). Если у вас взломанная версия XZ, следуйте рекомендациям по безопасности вашего дистрибутива. В некоторых случаях выпущен патч для исправления уязвимости, в других случаях рекомендуется бэкпортировать на более старую версию библиотеки.
В любом случае примените следующие рекомендации:
Уменьшите раскрытие интерфейсов администрирования вашего сервера, отфильтруйте на уровне сети, какой IP-адрес источника разрешен для подключения к SSH.
Используйте бастион для подключения к вашему серверу для администрирования (например: github.com/ovh/the-bastion ).
Выполняйте регулярное резервное копирование ваших данных и системных конфигураций, а также регулярно проверяйте свою способность восстановить службу из резервных копий.
Внешние ссылки:
www.openwall.com/lists/oss-security/2024/03/29/4
www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
lists.debian.org/debian-security-announce/2024/msg00057.html
news.opensuse.org/2024/03/29/xz-backdoor/
access.redhat.com/security/cve/CVE-2024-3094#cve-cvss-v3
archlinux.org/news/the-xz-package-has-been-backdoored/
boehs.org/node/everything-i-know-about-the-xz-backdoor
zona.media/article/2024/04/03/xz
gynvael.coldwind.pl/?lang=en&id=782
www.wiz.io/blog/cve-2024-3094-critical-rce-vulnerability-found-in-xz-utils
research.swtch.com/xz-timeline
История этого бэкдора заслуживает глубокого анализа, который здесь не по теме, но вызывает массу вопросов у open-source-сообществ и всего ИТ-сектора.
Какие системы затронуты?
Поскольку уязвимость была обнаружена за относительно короткое время, ни один крупный дистрибутив еще не интегрировал эти версии библиотеки XZ.
Только дистрибутивы с очень быстрыми темпами интеграции программного обеспечения (постоянные выпуски, тестирование, так называемые «нестабильные») интегрировали поврежденную версию во время обнаружения.
Каковы риски для клиентов OVHcloud?
Это не повлияет ни на один образ Linux, предоставленный OVHcloud клиентам для автоматической установки. Таким образом, ни один клиент не должен быть уязвим для этого бэкдора, используя изображения, предоставленные OVHcloud.
В некоторых случаях в вашей системе мог быть установлен бэкдор:
- Если вы установили уязвимый дистрибутив самостоятельно, в период, когда компрометация еще не была обнаружена, вне процесса автоматической установки OVHcloud (например, дистрибутив Linux в режиме «скользящего выпуска»)
- Если вы активировали пограничные репозитории в своей системе (например, «экспериментальные», «нестабильные» или «тестовые» для Debian, «edge» для Alpine, «предлагаемые обновления» для Ubuntu)
- Если вы установили программное обеспечение, упаковывающее уязвимую версию библиотеки
Бэкдор довольно сложен, поэтому даже в этом случае вы могли бы развернуть поврежденную версию библиотеки XZ, но ваша система не была бы фактически уязвима. Дополнительную информацию см. на странице рекомендаций по безопасности вашего дистрибутива/программного обеспечения.
Как я могу проверить, использую ли я защищенную версию библиотеки?
Проверьте вашу активную версию библиотеки XZ:
debian@lab:~$ strings `which xz` | grep "(XZ Utils)"
xz (XZ Utils) 5.2.5
Примечание. Команда «xz -V» даст аналогичный результат. Однако не рекомендуется выполнять двоичный файл, который может быть скомпрометирован.
Убедитесь, что активная версия библиотеки XZ не входит в число известных уязвимых (5.6.0 и 5.6.1). Если у вас взломанная версия XZ, следуйте рекомендациям по безопасности вашего дистрибутива. В некоторых случаях выпущен патч для исправления уязвимости, в других случаях рекомендуется бэкпортировать на более старую версию библиотеки.
В любом случае примените следующие рекомендации:
Уменьшите раскрытие интерфейсов администрирования вашего сервера, отфильтруйте на уровне сети, какой IP-адрес источника разрешен для подключения к SSH.
Используйте бастион для подключения к вашему серверу для администрирования (например: github.com/ovh/the-bastion ).
Выполняйте регулярное резервное копирование ваших данных и системных конфигураций, а также регулярно проверяйте свою способность восстановить службу из резервных копий.
Внешние ссылки:
www.openwall.com/lists/oss-security/2024/03/29/4
www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
lists.debian.org/debian-security-announce/2024/msg00057.html
news.opensuse.org/2024/03/29/xz-backdoor/
access.redhat.com/security/cve/CVE-2024-3094#cve-cvss-v3
archlinux.org/news/the-xz-package-has-been-backdoored/
boehs.org/node/everything-i-know-about-the-xz-backdoor
zona.media/article/2024/04/03/xz
gynvael.coldwind.pl/?lang=en&id=782
www.wiz.io/blog/cve-2024-3094-critical-rce-vulnerability-found-in-xz-utils
research.swtch.com/xz-timeline