Cisco警告Hyperflex安全漏洞

admin

思科的Hyperflex Hyperconverged數(shù)據(jù)中心設(shè)備的弱點可能允許命令注入漏洞。

思科本周在其Hyperflex數(shù)據(jù)中心包中發(fā)現(xiàn)了兩個“高度”的安全漏洞，這些漏洞可能讓攻擊者獲得對系統(tǒng)的控制。
Hyperflex是思科的超連接基礎(chǔ)設(shè)施，在單個系統(tǒng)中提供計算、網(wǎng)絡(luò)和存儲資源。
有關(guān)邊緣網(wǎng)絡(luò)的詳細信息
邊緣網(wǎng)絡(luò)和物聯(lián)網(wǎng)將如何重塑數(shù)據(jù)中心
邊緣計算最佳實踐
邊緣計算如何幫助保護物聯(lián)網(wǎng)
這兩個警告中更為關(guān)鍵的一個是Cisco的嚴重級別為1-10的8.8，這是Cisco Hyperflex軟件的群集服務(wù)管理器中的一個命令注入漏洞，它可以讓未經(jīng)身份驗證的攻擊者以根用戶身份執(zhí)行命令。
“攻擊者可以通過連接到集群服務(wù)管理器并向綁定進程中注入命令來利用此漏洞，”Cisco在其安全建議中寫道。
Cisco表示，該漏洞是由于3.5之前的Cisco Hyperflex軟件版本的輸入驗證不足造成的。
這種輸入會影響程序的控制流或數(shù)據(jù)流，并導(dǎo)致許多資源控制問題。思科發(fā)布了一個軟件更新來解決這個漏洞，并表示沒有其他解決辦法來解決這個問題。
第二個漏洞是思科Hyperflex軟件的hxterm服務(wù)中的一個漏洞，該漏洞在思科的規(guī)模上被定為8.1，它可以讓攻擊者以非特權(quán)本地用戶的身份連接到該服務(wù)。根據(jù)安全建議，成功的攻擊可以使攻擊者在3.5之前的Cisco Hyperflex軟件版本中獲得對所有Hyperflex集群成員節(jié)點的根訪問權(quán)。
思科表示，已經(jīng)發(fā)布了解決這兩個漏洞的軟件更新�？蛻艨梢詮腃isco下載。
Cisco還發(fā)布了其他三個“中等”級別的威脅，圍繞著與跨站點腳本（XSS）、任意數(shù)據(jù)和石墨服務(wù)弱點有關(guān)的Hyperflex軟件。但它沒有提供解決這些問題的方法和補丁。
Cisco最近擴展了其Hyperconverged軟件包，包括用于Branch的Hyperflex或Hyperflex 4.0，這將允許客戶將系統(tǒng)擴展到分支機構(gòu)或客戶網(wǎng)絡(luò)的邊緣。換句話說，它將數(shù)據(jù)中心級應(yīng)用程序的性能和管理轉(zhuǎn)移到分支機構(gòu)和遠程站點，從而在企業(yè)邊緣實現(xiàn)分析和智能服務(wù)，Cisco說。
Hyperflex漏洞是該公司發(fā)布的17項安全建議和警報的一部分。