Cisco警告Hyperflex安全漏洞

admin

思科的Hyperflex Hyperconverged数据中心设备的弱点可能允许命令注入漏洞。

Cisco警告Hyperflex安全漏洞

思科本周在其Hyperflex数据中心包中发现了两个“高度”的安全漏洞，这些漏洞可能让攻击者获得对系统的控制。
Hyperflex是思科的超连接基础设施，在单个系统中提供计算、网络和存储资源。
有关边缘网络的详细信息
边缘网络和物联网将如何重塑数据中心
边缘计算最佳实践
边缘计算如何帮助保护物联网
这两个警告中更为关键的一个是Cisco的严重级别为1-10的8.8，这是Cisco Hyperflex软件的群集服务管理器中的一个命令注入漏洞，它可以让未经身份验证的攻击者以根用户身份执行命令。
“攻击者可以通过连接到集群服务管理器并向绑定进程中注入命令来利用此漏洞，”Cisco在其安全建议中写道。
Cisco表示，该漏洞是由于3.5之前的Cisco Hyperflex软件版本的输入验证不足造成的。
这种输入会影响程序的控制流或数据流，并导致许多资源控制问题。思科发布了一个软件更新来解决这个漏洞，并表示没有其他解决办法来解决这个问题。
第二个漏洞是思科Hyperflex软件的hxterm服务中的一个漏洞，该漏洞在思科的规模上被定为8.1，它可以让攻击者以非特权本地用户的身份连接到该服务。根据安全建议，成功的攻击可以使攻击者在3.5之前的Cisco Hyperflex软件版本中获得对所有Hyperflex集群成员节点的根访问权。
思科表示，已经发布了解决这两个漏洞的软件更新。客户可以从Cisco下载。
Cisco还发布了其他三个“中等”级别的威胁，围绕着与跨站点脚本（XSS）、任意数据和石墨服务弱点有关的Hyperflex软件。但它没有提供解决这些问题的方法和补丁。
Cisco最近扩展了其Hyperconverged软件包，包括用于Branch的Hyperflex或Hyperflex 4.0，这将允许客户将系统扩展到分支机构或客户网络的边缘。换句话说，它将数据中心级应用程序的性能和管理转移到分支机构和远程站点，从而在企业边缘实现分析和智能服务，Cisco说。
Hyperflex漏洞是该公司发布的17项安全建议和警报的一部分。