Flexera FlexNet Publisher 至 11.13.1.2 Packet 0x107/0x10a 内存破坏漏洞

CVE编号

CVE-2015-8277

利用情况

暂无

补丁情况

N/A

披露时间

2016-02-24

漏洞描述

Flexera Software FlexNet Publisher（前称FLEXlm）是美国富莱睿（Flexera Software）公司的一款授权关系管理解决方案（Entitlement Relationship Management Solution）中的软件授权管理核心组件，它可为软件和硬件生产商提供定价、打包和定制软件授权期限。 Flexera Software FlexNet Publisher 11.12.1.2及之前版本中存在缓冲区溢出漏洞。攻击者可利用该漏洞使lmgrd.exe父进程崩溃，重启受影响应用程序，或在受影响应用程序上下文中执行任意代码，也可能造成拒绝服务。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：http://www.flexerasoftware.com/

参考链接
http://securitymumblings.blogspot.com/2016/02/cve-2015-8277.html
http://support.citrix.com/article/CTX207824
http://www.kb.cert.org/vuls/id/485744
http://www.securityfocus.com/bid/83334
http://www.securitytracker.com/id/1035266
https://ics-cert.us-cert.gov/advisories/ICSA-18-102-02
https://ics-cert.us-cert.gov/advisories/ICSA-18-212-05
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1073133
https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin...
https://www.securifera.com/advisories/cve-2015-8277

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	flexerasoftware	flexnet_publisher	*		Up to (including) 11.13.1.0

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当

Exp相关链接

• https://github.com/securifera/CVE-2015-8277-Exploit

- avd.aliyun.com