Cisco HyperFlex HX是思科(Cisco)公司的一个企业超融合解决方案。它提供企业级的敏捷性,可扩展性,安全性和生命周期管理功能。5月7日,思科发布了安全公告,修复了Cisco HyperFlex HX企业超融合解决方案中发现的命令注入等重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR
1.CVE-2021-1497 CVSS评分:9.8 严重程度:高
Cisco HyperFlex HX Installer虚拟机基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。
此漏洞是由于对用户提供的输入的验证不足而引起的。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。成功利用此漏洞可能允许攻击者以root 用户身份在受影响的设备上执行任意命令。
2.CVE-2021-1498 CVSS评分:7.3 严重程度:高
Cisco HyperFlex HX数据平台基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。
此漏洞是由于对用户提供的输入的验证不足而引起的。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。成功利用该漏洞可能使攻击者以tomcat8 用户的身份在受影响的设备上执行任意命令。
受影响产品
这些漏洞并不相互依赖。无需利用其中一个漏洞即可利用另一个漏洞。此外,受其中一个漏洞影响的软件版本可能不受其他漏洞影响。
如果这些漏洞正在运行易受攻击的Cisco HyperFlex HX软件版本,则这些漏洞会影响Cisco设备。
解决方案
思科已经发布了免费软件更新。建议客户如下表所示升级到适当的固定软件版本:
4.0之前版本迁移到4.0(2e)
4.0版本迁移至4.0(2e)
4.5版本迁移至4.5(2a)
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fast-Zqr6DD5