Cisco警告Hyperflex安全漏洞

admin

思科的Hyperflex Hyperconverged數據中心設備的弱點可能允許命令注入漏洞。

思科本周在其Hyperflex數據中心包中發現了兩個“高度”的安全漏洞，這些漏洞可能讓攻擊者獲得對系統的控制。
Hyperflex是思科的超連接基礎設施，在單個系統中提供計算、網絡和存儲資源。
有關邊緣網絡的詳細信息
邊緣網絡和物聯網將如何重塑數據中心
邊緣計算最佳實踐
邊緣計算如何幫助保護物聯網
這兩個警告中更為關鍵的一個是Cisco的嚴重級別為1-10的8.8，這是Cisco Hyperflex軟件的群集服務管理器中的一個命令注入漏洞，它可以讓未經身份驗證的攻擊者以根用戶身份執行命令。
“攻擊者可以通過連接到集群服務管理器并向綁定進程中注入命令來利用此漏洞，”Cisco在其安全建議中寫道。
Cisco表示，該漏洞是由于3.5之前的Cisco Hyperflex軟件版本的輸入驗證不足造成的。
這種輸入會影響程序的控制流或數據流，并導致許多資源控制問題。思科發布了一個軟件更新來解決這個漏洞，并表示沒有其他解決辦法來解決這個問題。
第二個漏洞是思科Hyperflex軟件的hxterm服務中的一個漏洞，該漏洞在思科的規模上被定為8.1，它可以讓攻擊者以非特權本地用戶的身份連接到該服務。根據安全建議，成功的攻擊可以使攻擊者在3.5之前的Cisco Hyperflex軟件版本中獲得對所有Hyperflex集群成員節點的根訪問權。
思科表示，已經發布了解決這兩個漏洞的軟件更新。客戶可以從Cisco下載。
Cisco還發布了其他三個“中等”級別的威脅，圍繞著與跨站點腳本（XSS）、任意數據和石墨服務弱點有關的Hyperflex軟件。但它沒有提供解決這些問題的方法和補丁。
Cisco最近擴展了其Hyperconverged軟件包，包括用于Branch的Hyperflex或Hyperflex 4.0，這將允許客戶將系統擴展到分支機構或客戶網絡的邊緣。換句話說，它將數據中心級應用程序的性能和管理轉移到分支機構和遠程站點，從而在企業邊緣實現分析和智能服務，Cisco說。
Hyperflex漏洞是該公司發布的17項安全建議和警報的一部分。