发布日期：2019-05-15
更新日期：2019-05-21

受影响系统：

Cisco Identity Services Engine 2.4(0.357)
Cisco Identity Services Engine 2.3(0.298)
Cisco Identity Services Engine 2.2(0.470)

不受影响系统：

Cisco Identity Services Engine 2.4(0.908)

描述：

---

BUGTRAQ  ID: 108356
CVE(CAN) ID: CVE-2019-1851

Cisco Identity Services Engine（ISE）是美国思科（Cisco）公司的一款基于身份的环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。
Cisco Identity Services Engine的外部RESTful Services（ERS）API存在一个漏洞，允许经过身份验证的远程攻击者生成由ISE上的内部证书颁发机构（CA）服务签名的任意证书。
此漏洞的产生原因是基于角色的访问控制（RBAC）的实现不正确。攻击者可以通过使用管理凭据制作特定的HTTP请求来利用此漏洞。成功利用此漏洞允许攻击者生成由ISE CA以任意属性签名和信任的证书。攻击者可以使用此证书访问受证书身份验证保护的其他网络或资产。

<*来源：Cisco
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-ise-certcrea
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20190515-ise-certcreation）以及相应补丁:
cisco-sa-20190515-ise-certcreation：Cisco Identity Services Engine Arbitrary Client Certificate Creation Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-ise-certcrea

补丁下载：

浏览次数：1648
严重程度：0（网友投票）