推广 热搜: 京东  联通  iphone11  摄像头  企业存储  iPhone  XSKY  京东智能采购  网络安全  自动驾驶 

云安全日报210508:思科企业超融合解决方案发现命令注入漏洞,需要尽快升级

   日期:2021-05-11     来源:TechWeb.com.cn    作者:itcg    浏览:443    我要评论    
导读:Cisco HyperFlex HX是思科(Cisco)公司的一个企业超融合解决方案。它提供企业级的敏捷性,可扩展

Cisco HyperFlex HX是思科(Cisco)公司的一个企业超融合解决方案。它提供企业级的敏捷性,可扩展性,安全性和生命周期管理功能。5月7日,思科发布了安全公告,修复了Cisco HyperFlex HX企业超融合解决方案中发现的命令注入等重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR

1.CVE-2021-1497 CVSS评分:9.8 严重程度:高

Cisco HyperFlex HX Installer虚拟机基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。

此漏洞是由于对用户提供的输入的验证不足而引起的。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。成功利用此漏洞可能允许攻击者以root 用户身份在受影响的设备上执行任意命令。

2.CVE-2021-1498 CVSS评分:7.3 严重程度:高

Cisco HyperFlex HX数据平台基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。

此漏洞是由于对用户提供的输入的验证不足而引起的。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。成功利用该漏洞可能使攻击者以tomcat8 用户的身份在受影响的设备上执行任意命令。

受影响产品

这些漏洞并不相互依赖。无需利用其中一个漏洞即可利用另一个漏洞。此外,受其中一个漏洞影响的软件版本可能不受其他漏洞影响。

如果这些漏洞正在运行易受攻击的Cisco HyperFlex HX软件版本,则这些漏洞会影响Cisco设备。

解决方案

思科已经发布了免费软件更新。建议客户如下表所示升级到适当的固定软件版本:

4.0之前版本迁移到4.0(2e)

4.0版本迁移至4.0(2e)

4.5版本迁移至4.5(2a)

查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fast-Zqr6DD5

 
反对 0举报 0 收藏 0 打赏 0评论 0
 
更多>同类资讯
0相关评论

头条阅读
推荐图文
相关资讯
网站首页  |  物流配送  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  RSS订阅  |  违规举报  |  京ICP备14047533号-2
Processed in 0.164 second(s), 11 queries, Memory 1.49 M