Vulnerabilidad en Electric Floating License Manager de Schneider Electric
Fecha de publicación 16/02/2018
Importancia
4 - Alta
Recursos Afectados
- EcoStruxure Power Monitoring Expert 8.2 (Standard, DC, HC Editions)
- StruxureWare Power Monitoring Expert 8.1 (Standard, DC, HC Editions)
- StruxureWare Power Monitoring Expert 8.0 (Standard, DC, HC, BuildingsEditions)
- StruxureWarePower MonitoringExpert 7.2.x
- Energy Expert 1.x (anteriormente Power Manager)
- EcoStruxure Power SCADA Operations 8.x (anteriormente PowerSCADA Expert) (solo con Advanced Reports y Dashboards Module)
Descripción
Schneider ha publicado una vulnerabilidad de severidad alta en los componentes de Flexera FlexNet Publisher que forman parte de su software Floating License Manager (FLM). La explotación de esta vulnerabilidad podría provocar la ejecución de código arbitrario.
Solución
- Para StruxureWare Power Monitoring Expert:
- Actualizar a la versión 7.2.2, en caso de tener una versión anterior a esta, y aplicar posteriormente el parche FLM disponible en: https://schneider-electric.app.box.com/s/n2fh1ym594pqvl87kf0zjsigamuryrje
- Para EcoStruxure Power Monitoring Expert 8.x:
- Actualizar a la versión PME 8.2, en caso de tener una versión anterior a esta, y aplicar posteriormente el parche CU 2 disponible en: https://schneider-electric.app.box.com/s/kkdikodcksjj1dznqy68ko0j28wct7vb
- Para Energy Expert 1.x:
- Actualizar a la versión Power Manager 1.3, en caso de tener una versión anterior a esta, y aplicar posteriormente el parche CU 2 disponible en: https://schneider-electric.app.box.com/s/kkdikodcksjj1dznqy68ko0j28wct7vb
- Para Power SCADA Operations 8.x con Advance Reports Module Only:
- Actualizar a la versión Advance Reports 8.2, en caso de tener una versión anterior a esta, y aplicar posteriormente el parche CU 2 disponible en: https://schneider-electric.app.box.com/s/kkdikodcksjj1dznqy68ko0j28wct7vb
Detalle
La vulnerabilidad en el servicio FlexNet Publisher Licensing podría aprovecharse en plataformas Windows para provocar un acceso de lectura de memoria fuera de límites y posteriormente podría ejecutarse código arbitrario con privilegios de SYSTEM.
Se ha reservado el identificador CVE-2016-10395 para esta vulnerabilidad.
Listado de referencias
Etiquetas