检测

FlexNet License 多种漏洞

critical Nessus 插件 ID 58273

语言:

简介

远程 Windows 主机安装的许可证管理应用程序允许执行任意代码。

描述

远程 Windows 主机上安装的 FlexNet License Manager 版本低于 11.10.0.3。因此,该数据库可能受到多个漏洞的影响:

- 存在多种问题,允许攻击者

影响服务器上日志文件的

保存和加载。通过利用目录遍历问题和

某些文件重命名缺陷,攻击者可利用这些

漏洞以运行受影响应用程序的用户的权限

执行任意代码。

- 存在一个缓冲区溢出漏洞,可导致

执行任意代码。

解决方案

如果使用 IBM Rational License Key Server,应用供应商提供的热修复。

否则,请将 FlexNet lmgrd License Server Manager 升级到 11.10.0.3 / 11.10.1 或更高版本。

另见

http://aluigi.altervista.org/adv/lmgrd_1-adv.txt

https://www.zerodayinitiative.com/advisories/ZDI-11-272/

https://www.zerodayinitiative.com/advisories/ZDI-12-052/

https://www.flexera.com/landing/hotfix-lmgrd-license-server-manager.html

http://www-01.ibm.com/support/docview.wss?uid=swg21577760

插件详情

严重性: Critical

ID: 58273

文件名: flexnet_license_server_manager_code_exec.nasl

版本: 1.16

类型: local

代理: windows

系列: Windows

发布时间: 2012/3/7

最近更新时间: 2018/11/15

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

必需的 KB 项: SMB/Flexera FlexNet License Server/Version, SMB/Flexera FlexNet License Server/Path

易利用性: No known exploits are available

补丁发布日期: 2011/10/14

漏洞发布日期: 2011/8/16

可利用的方式

Metasploit (FlexNet License Server Manager lmgrd Buffer Overflow)

参考资料信息

CVE: CVE-2011-1389, CVE-2011-4135

BID: 49191, 52718