NVD脆弱性詳細

CVE-2015-8277

概要	Multiple buffer overflows in (1) lmgrd and (2) Vendor Daemon in Flexera FlexNet Publisher before 11.13.1.2 Security Update 1 allow remote attackers to execute arbitrary code via a crafted packet with opcode (a) 0x107 or (b) 0x10a.
公表日	2016年2月24日12:59
登録日	2021年1月26日14:57
最終更新日	2024年11月21日11:38

CVSS3.0 : CRITICAL
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
スコア	10.0
ベクター	AV:N/AC:L/Au:N/C:C/I:C/A:C
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:flexerasoftware:flexnet_publisher::::::::			11.13.1.0

関連情報、対策とツール

No	URL	タグ
1	http://securitymumblings.blogspot.com/2016/02/cve-2015-8277.html
2	http://securitymumblings.blogspot.com/2016/02/cve-2015-8277.html
3	http://support.citrix.com/article/CTX207824
4	http://support.citrix.com/article/CTX207824
5	http://www.kb.cert.org/vuls/id/485744	Third Party Advisory US Government Resource
6	http://www.kb.cert.org/vuls/id/485744	Third Party Advisory US Government Resource
7	http://www.securityfocus.com/bid/83334
8	http://www.securityfocus.com/bid/83334
9	http://www.securitytracker.com/id/1035266
10	http://www.securitytracker.com/id/1035266
11	https://ics-cert.us-cert.gov/advisories/ICSA-18-102-02
12	https://ics-cert.us-cert.gov/advisories/ICSA-18-102-02
13	https://ics-cert.us-cert.gov/advisories/ICSA-18-212-05
14	https://ics-cert.us-cert.gov/advisories/ICSA-18-212-05
15	https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1073133
16	https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1073133
17	https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec129.pdf
18	https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec129.pdf
19	https://www.securifera.com/advisories/cve-2015-8277
20	https://www.securifera.com/advisories/cve-2015-8277

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

JVN脆弱性情報

FlexNet Publisher の lmgrd にバッファオーバーフローの脆弱性

タイトル	FlexNet Publisher の lmgrd にバッファオーバーフローの脆弱性
概要	Flexera Software が提供する FlexNet Publisher 11.13.1.2 未満に含まれる lmgrd およびベンダ固有のサーバプログラムにはバッファオーバーフローの脆弱性が存在し、任意のコードを実行される可能性があります。 Flexera Software の FlexNet Publisher は、ソフトウェアにライセンス管理機能を提供するための製品です。FlexNet Publisher に含まれる lmgrd およびベンダ固有のサーバプログラムで使われている文字列コピー機能には、バッファオーバーフローの脆弱性が存在します。遠隔の攻撃者はサーバ上で任意のコードを実行することが可能です。 FlexNet Publisher http://learn.flexerasoftware.com/content/ECM-EVAL-FlexNet-Publisher 詳しくは、本脆弱性の調査を行った研究者たちのブログポストやアドバイザリをご確認ください。ブログポスト http://securitymumblings.blogspot.jp/2016/02/cve-2015-8277.html アドバイザリ https://www.securifera.com/advisories/cve-2015-8277/
想定される影響	遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
対策	[アップデートする] FlexNet Publisher を使用してライセンス管理を行うソフトウェアを配布しているソフトウェアベンダは、FlexNet Publisher 2015 (11.13.1.2) Security Update 1 以降を Product and License Center から入手して修正を行ってください。ソフトウェアユーザは、対策方法についてソフトウェアベンダに問い合わせてください。 Product and License Center https://flexerasoftware.flexnetoperations.com/control/inst/login?nextURL=%2Fcontrol%2Finst%2Findex
公表日	2016年2月22日0:00
登録日	2016年2月24日11:28
最終更新日	2019年7月10日12:29

影響を受けるシステム

（複数のベンダ）

（複数の製品）ライセンス管理のため lmgrd と通信するベンダ固有のサーバプログラム

フレクセラ・ソフトウェア合同会社

FlexNet Publisher 11.13.1.2 未満に含まれる lmgrd

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-8277	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8277
National Vulnerability Database (NVD)
2	CVE-2015-8277	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8277

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Flexera Software
1	FlexNet Publisher	http://learn.flexerasoftware.com/content/ECM-EVAL-FlexNet-Publisher
2	Product and License Center	https://flexerasoftware.flexnetoperations.com/control/inst/login?nextURL=%2Fcontrol%2Finst%2Findex
3	Trusted by customers like these	http://www.flexerasoftware.com/producer/products/software-monetization/flexnet-licensing/

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-18-102-02	https://www.us-cert.gov/ics/advisories/ICSA-18-102-02
2	ICSA-18-212-05	https://www.us-cert.gov/ics/advisories/ICSA-18-212-05
JVN
3	JVNVU#91895172	http://jvn.jp/cert/JVNVU91895172
US-CERT Vulnerability Note
4	VU#485744	https://www.kb.cert.org/vuls/id/485744
関連文書
5	Securifera:CVE-2015-8277	https://www.securifera.com/advisories/cve-2015-8277/
6	Security Mumblings:Finding CVE-2015-8277 in FlexNet Publisher	http://securitymumblings.blogspot.jp/2016/02/cve-2015-8277.html

変更履歴

No	変更内容	変更日
0	[2016年02月24日] 掲載 [2016年03月15日] CWE による脆弱性タイプ一覧：CWE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-8277) を追加 [2016年05月17日] 影響を受けるシステム：内容を更新 [2016年05月18日] 概要：影響を受けるシステムの更新に伴い内容を更新	2018年2月17日10:37
1	[2019年07月10日] 参考情報：ICS-CERT ADVISORY (ICSA-18-102-02) を追加参考情報：ICS-CERT ADVISORY (ICSA-18-212-05) を追加	2019年7月10日12:28