“思科对比IOS XE REST API容器发布了重要的安全警告”
思科本周宣布了软件更新,以处理思科IOs XE软件思科rest API虚拟服务容器的漏洞。 该漏洞在CVSS ( CVSS )系统中宣布,满分10分中达到10分。
利用该漏洞,攻击者可以向目标设备提出恶意http请求,如果成功,则可以获得经过认证的顾客的令牌id。 令牌表示,令牌id可以用于绕过验证,并通过受影响的cisco ios xe设备上的rest api虚拟服务容器的接口执行特权操作。
思科表示,rest api是在虚拟服务容器中运行的应用程序。 虚拟服务容器是设备上的虚拟环境,以开放虚拟应用程序( ova )的形式提供。 必须使用设备虚拟化管理器( vman ) cli在设备上安装和启用ova软件包。
具有管理员凭据( 15级)的授权客户已通过rest api界面进行了验证。
缺省情况下,不启用rest api接口。 为了更容易受到攻击,必须安装并启用虚拟服务容器。 从设备存储内存中删除ova软件包后,攻击介质将被删除。 思科表示,如果未启用cisco rest api虚拟服务容器,则此操作不会影响设备的运行状况。
该漏洞的影响被配置为使用易受攻击版本的cisco rest api虚拟服务容器的cisco设备。 这个漏洞会影响以下产品。
思科4000系列集成多业务路由器
思科asr 1000系列聚合服务路由器
Cisco云服务路由器1000v系列
思科综合多业务虚拟路由器
思科宣布了rest api虚拟服务容器的固定版本和增强的ios xe版本,以防止容易受到设备攻击的容器的安装和激活。 如果设备已经由活动、易受攻击的容器组成,则ios xe软件升级将禁用该容器,从而使设备不易受到攻击。 在这种情况下,必须将cisco rest api虚拟服务容器升级到固定软件版本才能恢复rest api功能。
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。