Интернет неумолимо приближается к рубежу, известному как «День 768 тысяч» («768K Day»), и системные администраторы начинают подготовку к возможным отключениям из-за устаревшего оборудования. Их обеспокоенность весьма оправдана, и обновление устаревших маршрутизаторов – действительно хорошая идея. Тем не менее, эксперты по-прежнему прогнозируют некоторые отключения в «День 768 тысяч».

Термин «День 768 тысяч» происходит от «День 512 тысяч», припавший на 12 августа 2014 года. В этот день тысячи интернет-провайдеров по всему миру столкнулись с массовым отключением Сети. Из-за отключения и замедления интернета компании терпели миллиардные убытки. Причиной глобального отключения стал тот факт, что у устаревших маршрутизаторов закончилась память для хранения глобальной таблицы маршрутизации BGP (файла, в котором хранятся адреса IPv4 всех известных подключенных к интернету сетей).

В то время огромная часть интернет-трафика маршрутизировалась через устройства с троичной ассоциативной памятью (TCAM), выделенной области которой хватало не более чем на 512 тысяч маршрутизаторов.

12 августа 2014 года телекоммуникационная компания Verizon добавила 15 тысяч новых BGP-маршрутизаторов, в результате чего количество строк в таблице маршрутизации BGP превысило 512 тысяч. Это привело к переполнению выделенной памяти на старых моделях маршрутизаторов, и при каждой попытке обращения к таблице устройства выходили из строя. Проблема затронула множество компаний, в том числе Microsoft, eBay, LastPass, BT, LiquidWeb, Comcast, AT&T, Sprint и Verizon.

Многие маршрутизаторы получили экстренные обновления, позволяющие системным администраторам расширить область выделенной памяти для хранения таблицы маршрутизации BGP. Большинство сисадминов последовали рекомендациям и повысили лимит до 768 тысяч.

По данным сайта CIDR Report , осуществляющего мониторинг глобальной таблицы маршрутизации BGP, файл вмещает в себя уже 773 480 входов. Однако данная таблица является неофициальной и содержит дубликаты.

За размером таблицы также следит Twitter-бот BGP4-Table. По его данным, количество входов достигло отметки в 767 392, а значит, до финишных 768 тысяч осталось совсем ничего.

Как сообщают специалист AAGICo Berlin Аарон Гленн (Aaron A. Glenn) и руководитель точки обмена трафиком NNENIX Джим Траутман (Jim Troutman), «День 786 тысяч» наступит уже в следующем месяце. Однако ожидать массового отключения интернета как в 2014 году не стоит, уверены они. Крупные компании уже обновили свое оборудование, и переполнения памяти не предвидится. Проблема затронет лишь небольшие компании и местных операторов связи, использующих старые маршрутизаторы.
После пяти месяцев разработки представлен релиз OpenSSH 8.0, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные изменения:
  • В ssh и sshd добавлена экспериментальная поддержка метода обмена ключами, стойкого к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Предложенный метод основан на алгоритме NTRU Prime (функция ntrup4591761), разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519;
  • В sshd в директивах ListenAddress и PermitOpen прекращена поддержка устаревшего синтаксиса "host/port", реализованного в 2001 году в качестве альтернативы "host:port" для упрощения работы с IPv6. В современных условиях для IPv6 устоялся синтаксис "[::1]:22", а "host/port" часто путают с указанием подсети (CIDR);
  • В ssh, ssh-agent и ssh-add реализована поддержка ключей ECDSA в токенах PKCS#11;
  • В ssh-keygen размер ключа RSA по умолчанию увеличен до 3072 бит, в соответствии с новыми рекомендациями NIST;
  • В ssh разрешено использование настройки "PKCS11Provider=none" для переопределения директивы PKCS11Provider, заданной в ssh_config;
  • В sshd обеспечено отображение в логе ситуаций, когда соединение завершено при попытке выполнения команд, блокированных ограничением "ForceCommand=internal-sftp" в sshd_config;
  • В ssh при выводе запроса на подтверждение приёма нового хостового ключа, вместо ответа "yes" теперь воспринимается правильный fingerprint-отпечаток ключа (в ответ на приглашение подтвердить подключение пользователь может через буфер обмена скопировать отдельно полученный эталонный хэш, чтобы вручную не заниматься его сравнением);
  • В ssh-keygen обеспечено автоматическое увеличение номера последовательности в сертификате при создании цифровых подписей для нескольких сертификатов в командной строке;
  • В scp и sftp добавлена новая опция "-J", эквивалентная настройке ProxyJump;
Компания Juniper Networks исправила уязвимость (CVE-2019-0034) в своих сетевых коммутаторах для дата-центров. Проблема заключалась в наличии вшитых учетных данных в программном инструменте Junos Network Agent, предназначенном для управления датчиками и другими устройствами для мониторинга производительности сетей. Если говорить точнее, вшитые учетные данные были обнаружены в компоненте Google gRPC, используемом с Junos Telemetry Interface.

«В используемых gRPC конфигурационных файлах были обнаружены неизменяемые учетные данные, которые могли использоваться Junos Network Agent для неавторизованного чтения некоторых некритических данных (информации с датчиков). Кроме того, API, доступные через Juniper Extension Toolkit (JET), могут выполнять на устройстве некритические операции 'set'», – говорится в уведомлении Juniper Networks.

Хотя уязвимые компоненты могут входить в Junos, вшитые учетные данные есть только в сетевых коммутаторах, на которых работает Telemetry Interface с Junos Network Agent. Устройства без Junos Network Agent уязвимости не подвержены.

Администраторы могут проверить Network Agent на наличие уязвимости, введя команду user@junos> show version | grep na\ telemetry и проверив выходные данные user@junos>JUNOS na telemetry [17.3R3-S3.3]. В случае обнаружения проблемы настоятельно рекомендуется установить последнюю версию прошивки. Впрочем, установка обновлений желательна в любом случае.
Специалисты команды IBM Security предупредили о наличии опасной уязвимости в бюджетных моделях маршрутизаторов TP-Link, с помощью которой злоумышленники могут удаленно перехватить управление устройством. Речь идет о моделях TP-Link WR940N и TL-WR941ND с версией прошивки 150312. Хотя производитель уже прекратил производство данных моделей, они все еще предлагаются в некоторых магазинах электроники.

Проблема связана с web-панелью управления, используемой для настройки маршрутизаторов, в частности, с вкладкой системные инструменты/диагностика, где пользователи могут отправить эхо-запрос по протоколу ICMP на имя или IP-адрес целевого узла. Протокол управляющих сообщений ICMP (Internet Control Message Protocol) используется для обмена служебной и диагностической информацией в сети. Команда ping позволяет выполнить отправку управляющего сообщения типа Echo Request адресуемому узлу и интерпретировать полученный от него ответ в удобном для анализа виде.
Уряд інвестує 1 млрд грн в інтернетизацію та комп’ютеризацію українських шкіл – 700 млн грн буде спрямовано на забезпечення доступу до Інтернету, а ще 300 млн грн – на закупівлю комп’ютерів. Відповідну постанову було прийнято на засіданні КМУ сьогодні, 3 квітня 2019 року.

«Сьогодні, у 21-му столітті, у нас є школи, які взагалі не мають доступу до Інтернету. Наприклад, на Закарпатті 12,1% таких шкіл, а в Житомирській області – 19,3%. У нас у половині українських шкіл швидкість Інтернет-підключення становить менше 10Мбіт/с. Це означає, що там неможливо використовувати Інтернет для роботи з будь-яким освітнім контентом. Тому наше завдання – провести Інтернет у ті заклади, де доступу взагалі немає, а також забезпечити швидкість підключення для інших закладів не менше 30 Мбіт/с, а для опорних закладів та великих шкіл – до 100 Мбіт/с, бо саме ця швидкість може дозволити працювати з нормальними Інтернет-ресурсами», – розповіла Міністр освіти і науки Лілія Гриневич.

Вона наголосила, що сума в 700 млн грн для виконання цього завдання сформувалася після тривалих консультацій, зокрема, з Офісом ефективного регулювання.

«Однак Інтернет неможливо використовувати, якщо немає комп’ютерів. Наше завдання – забезпечити для шкіл співвідношення бодай 1 комп’ютер на 10 учнів. Хочу повідомити, що в Україні наразі є 413 шкіл, де взагалі відсутні комп’ютери, що використовуються в освітньому процесі. А ще велика кількість шкіл, де це співвідношення значно більше, ніж 10 до 1. Тому ми спрямовуватимемо кошти  саме туди, де немає цих комп’ютерів і де немає відповідного співвідношення. На це в субвенції – 300 млн грн», – пояснила Лілія Гриневич.

Міністр додала, що розподіл цих коштів відбувається за визначеним заздалегідь алгоритмом, що допомагає уникнути зловживань.
2-го апреля 2019 Intel презентовала большое количество новинок, среди которых оказалась 800-ая серия сетевых адаптеров. Таким образом Intel входит в сетевой хай-енд 100GbE. Раньше эта серия называлась Columbiaville, и - это первая сетевая в сегменте 100GbE. Похоже, что с провалом покупки Mellanox, это как раз то, что нужно Intel, чтобы не упустить рынок.
 
С 800-й серией 100GbE Intel добавляет несколько новых функций. Когда вышли 40GbE "Fortville", они потребляли большое количество энергии из-за того, что это были обычные сетевухи, по сравнению с тем, что предлагали другие. Возможно, именно поэтому Intel называет сетевые карты новой серии как "Основные сетевухи / Foundational NICs".
 
Чтобы облегчить переход, 700-ая и 800-ая серии работают на общем AVF (Virtual Function Driver / Intel AVF). Другие основные функции - это Application Device Queues (ADQ) и Dynamic Device Personalization (DDP).

Другой новостью на брифинге стало то, что Intel стала поддерживать в хранилищах: RDMA, iWARP и RoCEv2. До этого момента оборудование компании не поддерживало RoCE, хотя большинство игроков индустрии работали с ним. Теперь это изменилось, видимо, в Intel осознали популярность такого типа устройств.
Накануне Intel представила второе поколение серверных процессоров Xeon Scalable. В него вошли незаурядные решения Cascade Lake-AP (Advanced Performance), представляющие собой «склейку» двух кристаллов, и более традиционные чипы Cascade Lake-SP, пришедшие на смену выпущенным пару лет назад Skylake-SP. Для производства новинок задействуется улучшенный 14-нм техпроцесс.
 
Линейка серверных процессоров Intel Xeon Platinum 9200 (Cascade Lake-AP) представлена четырьмя моделями с числом ядер от 32 до 56 единиц. Они выполнены в форм-факторе BGA5903, подразумевающем пайку CPU прямо на материнскую плату, и допускают двухпроцессорные конфигурации.
После 6 месяцев разработки представлена новая версия системы мониторинга с открытым исходным кодом Zabbix 4.2. Вышедший релиз включает существенные улучшения стадии предварительной обработки (препроцессинга) данных, встроенную поддержку сбора данных с экспортеров Prometheus, возможность использования JavaScript в препроцессинге, поддержку TimescaleDB для хранения метрик, официальные пакеты для платформ Windows, MacOS, RasperryPI и SUSE и многое другое. Код проекта распространяется под лицензией GPLv2.

Напомним, что Zabbix состоит из трёх базовых компонентов: сервера для координации выполнения проверок, формирования проверочных запросов и накопления статистики; агентов для осуществления проверок на стороне внешних хостов; фронтэнда для организации управления системой. Для снятия нагрузки с центрального сервера и формирования распределённой сети мониторинга может быть развёрнута серия прокси-серверов, агрегирующих данные о проверке группы хостов. Данные могут храниться в СУБД MySQL, PostgreSQL, DB2 и Oracle. Без агентов Zabbix-сервер может получать данные по таким протоколам как SNMP, IPMI, JMX, SSH/Telnet, ODBC, проводить тестирование доступности Web-приложений и систем виртуализации.
После более года разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.14. Поддержка ветки 9.14 будет осуществляться до 2 квартала 2020 года в рамках штатного цикла сопровождения. В следующем году будет сформирован LTS релиз 9.16, который будет поддерживаться три года. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.12 прекратиться в июне.

BIND 9.14.0 стал первым стабильный выпуском, сформированным в рамках новой схемы нумерации версий. Нечётные номера релизов теперь присваиваются экспериментальным веткам, в которых развивается функциональность для будущих стабильных веток, имеющих чётный номер выпуска. Формирование отдельных альфа- и бета-веток прекращено. Таким образом, ветка BIND 9.13 была экспериментальной и на её базе сформирован стабильный релиз BIND 9.14.
В клиентской библиотеке C, реализующей протокол SSH2, под названием libssh2 исправлен ряд уязвимостей, способных привести к повреждению памяти и выполнению произвольного кода на системе при определенных условиях.

Libssh2 доступна для всех основных дистрибутивов Linux, в том числе Ubuntu, Red Hat и Debian, а также является библиотекой по умолчанию, встроенной в некоторые дистрибутивы и ПО. Всего в новой версии libssh2 1.8.1 исправлено девять уязвимостей. Все версии библиотеки до 1.8.1 являются уязвимыми. О существовании рабочих эксплоитов для уязвимостей ничего не известно.