【活用ガイド】

JVNDB-2016-001479

FlexNet Publisher の lmgrd にバッファオーバーフローの脆弱性

概要

Flexera Software が提供する FlexNet Publisher 11.13.1.2 未満に含まれる lmgrd およびベンダ固有のサーバプログラムにはバッファオーバーフローの脆弱性が存在し、任意のコードを実行される可能性があります。

Flexera Software の FlexNet Publisher は、ソフトウェアにライセンス管理機能を提供するための製品です。FlexNet Publisher に含まれる lmgrd およびベンダ固有のサーバプログラムで使われている文字列コピー機能には、バッファオーバーフローの脆弱性が存在します。遠隔の攻撃者はサーバ上で任意のコードを実行することが可能です。

FlexNet Publisher
http://learn.flexerasoftware.com/content/ECM-EVAL-FlexNet-Publisher

詳しくは、本脆弱性の調査を行った研究者たちのブログポストやアドバイザリをご確認ください。

ブログポスト
http://securitymumblings.blogspot.jp/2016/02/cve-2015-8277.html

アドバイザリ
https://www.securifera.com/advisories/cve-2015-8277/
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


Flexera Software
  • FlexNet Publisher 11.13.1.2 未満に含まれる lmgrd
(複数のベンダ)
  • (複数の製品) ライセンス管理のため lmgrd と通信するベンダ固有のサーバプログラム

想定される影響

遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
対策

[アップデートする]
FlexNet Publisher を使用してライセンス管理を行うソフトウェアを配布しているソフトウェアベンダは、FlexNet Publisher 2015 (11.13.1.2) Security Update 1 以降を Product and License Center から入手して修正を行ってください。ソフトウェアユーザは、対策方法についてソフトウェアベンダに問い合わせてください。

Product and License Center
https://flexerasoftware.flexnetoperations.com/control/inst/login?nextURL=%2Fcontrol%2Finst%2Findex
ベンダ情報

Flexera Software
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-8277
参考情報

  1. JVN : JVNVU#91895172
  2. National Vulnerability Database (NVD) : CVE-2015-8277
  3. US-CERT Vulnerability Note : VU#485744
  4. 関連文書 : Security Mumblings:Finding CVE-2015-8277 in FlexNet Publisher
  5. 関連文書 : Securifera:CVE-2015-8277
更新履歴

[2016年02月24日]
  掲載
[2016年03月15日]
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2015-8277) を追加
[2016年05月17日]
  影響を受けるシステム:内容を更新
[2016年05月18日]
  概要:影響を受けるシステムの更新に伴い内容を更新