雲安全日報210508:思科企業超融合解決方案發現命令注入漏洞,需要盡快升級
2021年05月08日15:08

原標題:雲安全日報210508:思科企業超融合解決方案發現命令注入漏洞,需要盡快升級

Cisco HyperFlex HX是思科(Cisco)公司的一個企業超融合解決方案。它提供企業級的敏捷性,可擴展性,安全性和生命週期管理功能。5月7日,思科發佈了安全公告,修復了Cisco HyperFlex HX企業超融合解決方案中發現的命令注入等重要漏洞。以下是漏洞詳情:

漏洞詳情

1.CVE-2021-1497 CVSS評分:9.8 嚴重程度:高

Cisco HyperFlex HX Installer虛擬機基於Web的管理界面中的漏洞可能允許未經身份驗證的遠程攻擊者對受影響的設備執行命令注入攻擊。

此漏洞是由於對用戶提供的輸入的驗證不足而引起的。攻擊者可以通過向基於Web的管理界面發送精心設計的請求來利用此漏洞。成功利用此漏洞可能允許攻擊者以root 用戶身份在受影響的設備上執行任意命令。

2.CVE-2021-1498 CVSS評分:7.3 嚴重程度:高

Cisco HyperFlex HX數據平台基於Web的管理界面中的漏洞可能允許未經身份驗證的遠程攻擊者對受影響的設備執行命令注入攻擊。

此漏洞是由於對用戶提供的輸入的驗證不足而引起的。攻擊者可以通過向基於Web的管理界面發送精心設計的請求來利用此漏洞。成功利用該漏洞可能使攻擊者以tomcat8 用戶的身份在受影響的設備上執行任意命令。

受影響產品

這些漏洞並不相互依賴。無需利用其中一個漏洞即可利用另一個漏洞。此外,受其中一個漏洞影響的軟件版本可能不受其他漏洞影響。

如果這些漏洞正在運行易受攻擊的Cisco HyperFlex HX軟件版本,則這些漏洞會影響Cisco設備。

解決方案

思科已經發佈了免費軟件更新。建議客戶如下表所示升級到適當的固定軟件版本:

4.0之前版本遷移到4.0(2e)

4.0版本遷移至4.0(2e)

4.5版本遷移至4.5(2a)

查看更多漏洞信息 以及升級請訪問官網:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fast-Zqr6DD5

關注我們Facebook專頁
    相關新聞
      更多瀏覽