AR# 66709

2015.4 ライセンス - Flex Publisher のセキュリティの脆弱性 CVE-2015-8277 - ライセンス ユーティリティのアップデート

説明

2016 年 1 月、Flexera は、FlexNet Publisher (FNP) サーバー コンポーネントに CVE-2015-8277 というセキュリティの脆弱性があることを認め発表しました。


  • その脆弱性はどの範囲で影響があるのか
  • ザイリンクスのライセンス ユーティリティに影響はあるのか
  • 影響がある場合は、アップデートされたライセンス ユーティリティはあるのか
  • FlexLM の最新版にアップグレードするにあたり、マイナス点や考慮すべきことはあるのか

ソリューション

その脆弱性はどの範囲で影響があるのか

このセキュリティ問題に関して、ザイリンクスにすべてが明かされているわけではありませんが、次の点は把握できています。

  • ライセンス サーバーを実行していない場合は、リスクはない。
  • この脆弱性の重要度は高い。
  • 次の FlexNet Publisher コンポーネントのすべてのサポート バージョンにこれらの脆弱性が見られる。
  • この脆弱性の問題は、Flexera Software から提供されているオブジェクトコードをもとに各 FlexNet Publisher カスタマーがビルドした lmgrd およびベンダー daemon に影響する。
  • アプリケーションが直接インターネットにさらされると、さらに脆弱になる。
  • ライセン スサーバーがファイアウォールの内側にある場合は、リスクは低くなる。


Base CVSS スコアは 7.6 です。
FlexNet ライセンスのソフトウェアをかなりカスタマイズして使用している環境でのみ、lmgrd またはベンダー daemon がインターネットにさらされます。
これらのコンポーネントがインターネットにさらされている場合は、パッチが適用されるまでの間、信頼性の高いネットワークだけでこれらのコンポーネントを実行してください。
これらのコンポーネントをインターネットにさらすと、ベース CVSS スコアが 9.0 に上がります。


ザイリンクス ライセンス ツールが影響を受けるか


はい。次のものがこの問題の影響を受けます。


  • lmgrd 実行ファイル (v11.13.1.2 よりも前のバージョン)、
  • ベンダー daemon 実行ファイル (xilinxdを含む) で、Flexera Software から提供されているオブジェクトコードをもとに各 FlexNet Publisher カスタマーがビルドしたもの (v11.13.1.2 よりも前のバージョン)


アップデートされたライセンス ユーティリティはあるか

ザイリンクスは、FNP v11.13.1.3 をベースにしたライセンス ユーティリティをビルドしました。

このライセンス ユーティリティは、Windows および Linux 用のものがこのアンサーに添付されています。


v11.13.1.3 のユーティリティを使用する前に、次の点に注意してください。

  • FNP v11.13.1.2 以降のサーバー コンポーネントでは、Flexera がライセンス サーバー プラットフォームとして、Red Hat Enterprise Linux 5 (RHEL 5) ではサポートされていません。しかし、Red Hat Enterprise 5 での初期テストでは、FNP v11.13.1.2 ライセンス サーバー コンポーネントとの問題は見つかりませんでした。
    RHEL 5 はライセンス ランタイムの間、引き続きフル サポートされます (クライアント アプリケーションは影響を受けません)。
  • v11.13.1.3 の信頼ストレージおよび v11.13.1.3 lmgrd でアクティベーション ライセンスを実行すると、ライセンスの信用性が失われます。詳細は、(Xilinx Answer 66899) を参照してください。

ご使用のライセンス サーバー ソフトウェアをアップデートするか、またはライセンス サーバーをファイアウォールの内側で実行することを推奨します。アップデートされた lmgrd および xilinxd はどちらも、この脆弱性の問題をなくすには、v11.13.1.3 以上である必要があります。


ライセンス管理者としてリスクにさらされるのを軽減するためのアドバイス


この脆弱性の問題だけでなく、ほかのセキュリティ脆弱性への保護対策として、Flexera からライセンス管理者へ次のような手順がアドバイスされています。

  • 特権的なセキュリティ レベルが最も低いレベルで、lmgrd およびベンダー daemon を起動します。
  • OS ベンダーから提供されている、バッファー/スタック オーバーフローの攻撃に抵抗できる推奨セキュリティ設定を使用します。
    たとえば、Windows のデータ実行防止 (DEP) 機能などです。また、ほとんどの OS アップデートには、不正コード実行に対する保護機能が、ハードウェアとソフトウェアの両方に含まれているので、それを活用してください。
  • エンジニアリング アプリケーション用の FlexNet Manager を使用していない場合は、lmgrd に -2 p というコマンド ライン オプションを指定して実行し、アクセスを管理者ユーザーだけに限定します。このコマンド ライン オプションの使用に関する制限事項については、製品資料を参照してください。
  • lmgrd にはデフォルトの 27000-27009 TCP ポートを使用しないでください。(注記: これはインテリジェントなポート スキャン ツールを使用していないハッカーだけを抑止します)


アップデートされたライセンス ユーティリティ (v11.13.1.3) は、Vivado 2016.1 に含まれています。

添付ファイル

関連添付ファイル

タイトル サイズ ファイルタイプ
linux_flexlm_v11.13.1.3.zip 23 MB ZIP
windows_flexlm_v11.13.1.3.zip 21 MB ZIP
AR# 66709
日付 02/21/2017
ステータス アクティブ
種類 既知の問題
ツール