“思科对比IOS XE REST API容器发布了重要的安全警告”

思科本周宣布了软件更新，以处理思科IOs XE软件思科rest API虚拟服务容器的漏洞。 该漏洞在CVSS ( CVSS )系统中宣布，满分10分中达到10分。

利用该漏洞，攻击者可以向目标设备提出恶意http请求，如果成功，则可以获得经过认证的顾客的令牌id。 令牌表示，令牌id可以用于绕过验证，并通过受影响的cisco ios xe设备上的rest api虚拟服务容器的接口执行特权操作。

思科表示，rest api是在虚拟服务容器中运行的应用程序。 虚拟服务容器是设备上的虚拟环境，以开放虚拟应用程序( ova )的形式提供。 必须使用设备虚拟化管理器( vman ) cli在设备上安装和启用ova软件包。

具有管理员凭据( 15级)的授权客户已通过rest api界面进行了验证。

缺省情况下，不启用rest api接口。 为了更容易受到攻击，必须安装并启用虚拟服务容器。 从设备存储内存中删除ova软件包后，攻击介质将被删除。 思科表示，如果未启用cisco rest api虚拟服务容器，则此操作不会影响设备的运行状况。

该漏洞的影响被配置为使用易受攻击版本的cisco rest api虚拟服务容器的cisco设备。 这个漏洞会影响以下产品。

思科4000系列集成多业务路由器

思科asr 1000系列聚合服务路由器

Cisco云服务路由器1000v系列

思科综合多业务虚拟路由器

思科宣布了rest api虚拟服务容器的固定版本和增强的ios xe版本，以防止容易受到设备攻击的容器的安装和激活。 如果设备已经由活动、易受攻击的容器组成，则ios xe软件升级将禁用该容器，从而使设备不易受到攻击。 在这种情况下，必须将cisco rest api虚拟服务容器升级到固定软件版本才能恢复rest api功能。

本文：《“思科对比IOS XE REST API容器发布了重要的安全警告”》