Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Multiples vulnerabilidades en Gemalto Sentinel License Manager

Fecha de publicación 02/02/2018
Importancia
5 - Crítica
Recursos Afectados
  • HASP SRM.
  • Sentinel HASP.
  • Sentinel LDK anterior a la versión RTE 7.55
  • [Actualización 02/05/2018] GE Common Licensing
Descripción

Investigadores de Kaspersky Labs han reportado varias vulnerabilidades que podrían causar una ejecución remota de código o una denegación de servicio en el servicio Sentinel LDK License Manager.

Solución

Gemalto recomienda actualizar a la última versión de Sentinel LDK RTE (run-time environment).

https://sentinelcustomer.gemalto.com/sentineldownloads/

Detalle

Se han descubierto siete vulnerabilidades en el servicio Sentinel License Manger, siendo cuatro de estas vulnerabilidades críticas. De todas las vulnerabilidades descubiertas la más crítica es la identificada como control de acceso inadecuado (Improper Access Control). Esta vulnerabilidad afecta a la interfaz web del administrador de licencias, en caso de encontrarse habilitada en su configuración por defecto puede ser usada para explotar remotamente todas las vulnerabilidades descubiertas, en caso de no encontrarse habilitada puede activarse remotamente. Para esta vulnerabilidad se ha reservado el identificador CVE-2017-12822.

Para el resto de vulnerabilidades se han reservado los siguientes identificadores: CVE-2017-11498, CVE-2017-11497, CVE-2017-11496, CVE-2017-12818, CVE-2017-12821, CVE-2017-12820 y CVE-12819.

Encuesta valoración