Cisco警告Hyperflex安全漏洞

admin

思科的Hyperflex Hyperconverged數(shù)據(jù)中心設(shè)備的弱點(diǎn)可能允許命令注入漏洞。

思科本周在其Hyperflex數(shù)據(jù)中心包中發(fā)現(xiàn)了兩個(gè)“高度”的安全漏洞，這些漏洞可能讓攻擊者獲得對系統(tǒng)的控制。
Hyperflex是思科的超連接基礎(chǔ)設(shè)施，在單個(gè)系統(tǒng)中提供計(jì)算、網(wǎng)絡(luò)和存儲資源。
有關(guān)邊緣網(wǎng)絡(luò)的詳細(xì)信息
邊緣網(wǎng)絡(luò)和物聯(lián)網(wǎng)將如何重塑數(shù)據(jù)中心
邊緣計(jì)算最佳實(shí)踐
邊緣計(jì)算如何幫助保護(hù)物聯(lián)網(wǎng)
這兩個(gè)警告中更為關(guān)鍵的一個(gè)是Cisco的嚴(yán)重級別為1-10的8.8，這是Cisco Hyperflex軟件的群集服務(wù)管理器中的一個(gè)命令注入漏洞，它可以讓未經(jīng)身份驗(yàn)證的攻擊者以根用戶身份執(zhí)行命令。
“攻擊者可以通過連接到集群服務(wù)管理器并向綁定進(jìn)程中注入命令來利用此漏洞，”Cisco在其安全建議中寫道。
Cisco表示，該漏洞是由于3.5之前的Cisco Hyperflex軟件版本的輸入驗(yàn)證不足造成的。
這種輸入會影響程序的控制流或數(shù)據(jù)流，并導(dǎo)致許多資源控制問題。思科發(fā)布了一個(gè)軟件更新來解決這個(gè)漏洞，并表示沒有其他解決辦法來解決這個(gè)問題。
第二個(gè)漏洞是思科Hyperflex軟件的hxterm服務(wù)中的一個(gè)漏洞，該漏洞在思科的規(guī)模上被定為8.1，它可以讓攻擊者以非特權(quán)本地用戶的身份連接到該服務(wù)。根據(jù)安全建議，成功的攻擊可以使攻擊者在3.5之前的Cisco Hyperflex軟件版本中獲得對所有Hyperflex集群成員節(jié)點(diǎn)的根訪問權(quán)。
思科表示，已經(jīng)發(fā)布了解決這兩個(gè)漏洞的軟件更新。客戶可以從Cisco下載。
Cisco還發(fā)布了其他三個(gè)“中等”級別的威脅，圍繞著與跨站點(diǎn)腳本（XSS）、任意數(shù)據(jù)和石墨服務(wù)弱點(diǎn)有關(guān)的Hyperflex軟件。但它沒有提供解決這些問題的方法和補(bǔ)丁。
Cisco最近擴(kuò)展了其Hyperconverged軟件包，包括用于Branch的Hyperflex或Hyperflex 4.0，這將允許客戶將系統(tǒng)擴(kuò)展到分支機(jī)構(gòu)或客戶網(wǎng)絡(luò)的邊緣。換句話說，它將數(shù)據(jù)中心級應(yīng)用程序的性能和管理轉(zhuǎn)移到分支機(jī)構(gòu)和遠(yuǎn)程站點(diǎn)，從而在企業(yè)邊緣實(shí)現(xiàn)分析和智能服務(wù)，Cisco說。
Hyperflex漏洞是該公司發(fā)布的17項(xiàng)安全建議和警報(bào)的一部分。