Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en FlexNet Publisher de Flexera

Fecha de publicación 20/11/2019
Importancia
5 - Crítica
Recursos Afectados

FlexNet Publisher, versión 2018 R3 y anteriores.

Descripción

El investigador Sergey Temnikov, de Kaspersky, ha reportado vulnerabilidades de tipo validación de entradas incorrecta y corrupción de memoria que afectan a FlexNet Publisher de Flexera. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto negar la adquisición de una licencia válida para el uso legal del producto y la ejecución de código de forma remota.

Solución

Flexera recomienda actualizar a la versión 2018 R4 o superior.

Detalle
  • Varias vulnerabilidades relacionadas con la eliminación preventiva de elementos, la decodificación de mensajes o la adición de un elemento a una lista en los componentes lmgrd y daemon del proveedor permite que un atacante remoto envíe una combinación de mensajes a lmgrd o a daemon, haciendo que el heartbeat entre lmgrd y daemon del proveedor se detenga y que el daemon se apague. Se han asignado los identificadores CVE-2018-20031, CVE-2018-20032 y CVE-2018-20034 para estas vulnerabilidades, respectivamente.
  • Una vulnerabilidad en los componentes lmgrd y daemon del proveedor podría permitir que un atacante remoto corrompa la memoria asignando/desasignando memoria, cargando lmgrd o daemon, y causando que el heartbeat entre lmgrd y daemon se detenga. Esto obligaría al demonio del vendedor a cerrar. Esta vulnerabilidad también podría permitir la ejecución remota de código. Se ha asignado el identificador CVE-2018-20033 para esta vulnerabilidad.

Encuesta valoración