Múltiples vulnerabilidades en FlexNet Publisher de Flexera
Fecha de publicación 20/11/2019
Importancia
5 - Crítica
Recursos Afectados
FlexNet Publisher, versión 2018 R3 y anteriores.
Descripción
El investigador Sergey Temnikov, de Kaspersky, ha reportado vulnerabilidades de tipo validación de entradas incorrecta y corrupción de memoria que afectan a FlexNet Publisher de Flexera. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto negar la adquisición de una licencia válida para el uso legal del producto y la ejecución de código de forma remota.
Solución
Flexera recomienda actualizar a la versión 2018 R4 o superior.
Detalle
- Varias vulnerabilidades relacionadas con la eliminación preventiva de elementos, la decodificación de mensajes o la adición de un elemento a una lista en los componentes lmgrd y daemon del proveedor permite que un atacante remoto envíe una combinación de mensajes a lmgrd o a daemon, haciendo que el heartbeat entre lmgrd y daemon del proveedor se detenga y que el daemon se apague. Se han asignado los identificadores CVE-2018-20031, CVE-2018-20032 y CVE-2018-20034 para estas vulnerabilidades, respectivamente.
- Una vulnerabilidad en los componentes lmgrd y daemon del proveedor podría permitir que un atacante remoto corrompa la memoria asignando/desasignando memoria, cargando lmgrd o daemon, y causando que el heartbeat entre lmgrd y daemon se detenga. Esto obligaría al demonio del vendedor a cerrar. Esta vulnerabilidad también podría permitir la ejecución remota de código. Se ha asignado el identificador CVE-2018-20033 para esta vulnerabilidad.
Listado de referencias
Etiquetas