Q100675: セキュリティに関するお知らせ - RLM Web サーバー コンポーネントは、ホスト サーバー上のリモート コード実行の脆弱性 (RCE) の影響を受ける可能性があります。

フォローする

まとめ

Foundry RLM Web サーバー コンポーネントが、RLM サービスの構成方法によっては、ホスト サーバー上のリモート コード実行の脆弱性 (RCE) の影響を受ける可能性があることを認識しています。

さらに、RLM Web サーバー コンポーネントは、追加の認証および認可の脆弱性の影響を受ける可能性があります。

執筆時点では、これは RLM 12 に影響することがわかっていますが、このソフトウェアの他のバージョンにも適用される可能性があります。

RCE 脆弱性の詳細については、 Windows サーバーに関するCVE-2018-15573を参照してください。しかし、 Foundryエンジニアは、同様の RCE 脆弱性が Linux および macOS サーバーにも適用される可能性があると判断しました。

認証および認可の脆弱性の詳細については、 SecListsで確認できます。

: この記事は、ネットワークとライセンス管理に関するある程度の知識を前提としており、IT 管理者を対象としています。

詳しくは

このアドバイザリは、RLM Web サーバー コンポーネントが組み込まれた RLM フローティング ライセンス サーバーを使用しているお客様に適用されます。

お客様には、RLM サーバーの組み込み RLM Web サーバー機能を無効にすることをお勧めします。

RLM Web サーバーは、RLM フローティング ライセンス サーバーの構成に使用できる補助ツールです。これは、 Foundry Licensing Utility (FLU) または rlmutil を使用する代わりに使用できます。

ライセンスの追加や更新などの RLM サーバー構成の変更には、RLM Web サーバー コンポーネントを使用する代わりに、 Foundry Licensing Utility (FLU) または rlmutils を使用する必要があります。 Q100027: フローティング/サーバー ライセンスのインストール方法Q100659: rlmutil とは何ですか?またその使用方法を参照してください。詳細については。

この RLM Web サーバー コンポーネントを無効にする手順については、以下の「軽減策: RLM Web サーバーの無効化」セクションで説明します。

RLM Web サーバーの使用を継続したいお客様は、以下のセクション「軽減策: リモート ライセンス ファイルの更新を無効にして RCE を防止する」の手順に従う必要がありますが、 Foundry Web サーバー コンポーネントを完全に無効にすることをお勧めします。

お客様には、引き続きベスト プラクティスを適用し、内部ネットワークをより広範なインターネットからリングフェンスすることが推奨されます。

Foundryは、このナレッジベース記事の緩和策を将来のソフトウェア リリースに適用できるように、 Foundry Licensing Utility (FLU) にパッチを適用する積極的な手順に従っています。

軽減策: RLM Web サーバーの無効化

重要: RLM サーバーを再インストールすると (FLU を使用した再インストールを含む)、設定が変更され、RLM Web サーバー コンポーネントが再度有効になる場合があります。 RLM サーバーのインストール後は、RLM Web サーバーが適切に非アクティブ化されたままになるように注意する必要があります。


RLM Web インターフェイスを無効にする: Linux

  1. RLM サーバーを停止します
/etc/init.d/ foundry rlmserver stop
  1. foundry rlmserver を編集し、次の行を置き換えます。
${BIN_DIR}/rlm.foundry -ws 4102 -c ${LIC_FILES} -dlog ${LOG_DIR}/ foundry .log & >> ${LOG_DIR}/boot.log 2>&1

${BIN_DIR}/rlm.foundry -nows -c ${LIC_FILES} -dlog ${LOG_DIR}/ foundry .log & >> ${LOG_DIR}/boot.log 2>&1
  1. RLM サーバーを再起動します

RLM Web インターフェイスを無効にする: Windows

  1. スタートメニューから「サービス」アプリケーションを開きます
  2. 「Foundry License Server」サービスを見つけて右クリックし、ポップアップ メニューから「停止」を選択します。
    名前のない
  3. スタートメニューから「レジストリエディタ」アプリケーションを開きます
  4. 上部のテキストフィールドに次のパスを入力し、Enter キーを押します。

    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Foundry License Server

    名前のない
  5. 「画像パス」をダブルクリックします。
    名前のない
  6. 「文字列の編集」ダイアログを使用して、次の行の部分を置き換えます。

    “-ws” “4102”

    と:

    “-nows”

    デフォルトのインストール場所でFoundry Licensing Tools 8.0 を使用していると仮定すると、完全な行は次のようになります。

    "C:\Program Files\The Foundry \\LicensingTools8.0\bin\RLM\rlm.foundry.exe" "-c" "C:\ProgramData\The Foundry \RLM" "-nows" "-dlog" 
    "C:\ProgramData\The Foundry \RLM\log\\foundry.log" -service
  7. 手順 1 のサービス アプリケーションから「Foundry License Server」を右クリックし、サブメニューから「開始」を選択して、ライセンス サーバーを再起動します。
    名前のない
  8. Web ブラウザでhttp://127.0.0.1:4102/を開いて、RLM Web インターフェイスにアクセスできなくなったことを確認します。

RLM Web インターフェイスを無効にする: macOS

  1. RLM サーバーを停止します

  2. /Library/LaunchDaemons/に移動しテキスト エディターでファイルuk.co.thefoundry.rlm.plistを編集し、次の行を更新します。
<string>/Applications/TheFoundry/LicensingTools8.0/bin/RLM/rlm.foundry</string>
<string>-ws</string>
<string>4102</string>
<string>-c</string>

<string>/Applications/TheFoundry/LicensingTools8.0/bin/RLM/rlm.foundry</string>
<string>-nows</string>
<string>-c</string>
  1. ターミナルを起動し、次のコマンドを使用して RLM デーモンをリロードします。
 sudo launchctl unload /Library/LaunchDaemons/uk.co.thefoundry.rlm.plist
sudo launchctl load /Library/LaunchDaemons/uk.co.thefoundry.rlm.plist

4. サーバーを起動します

5. ブラウザの URL でHOSTNAME:4102に移動して、これが無効になっていることをテストします。

軽減策: リモート ライセンス ファイルの更新を無効にして RCE を防止します。
 

重要: RLM サーバーを再インストールすると (FLU を使用した再インストールを含む)、設定が変更され、RLM Web サーバー コンポーネントが再度有効になる場合があります。 RLM サーバーのインストール後は、RLM Web サーバーが適切に非アクティブ化されたままになるように注意する必要があります。

RCE 脆弱性を防ぐには、インストールされているライセンス ファイルのリモート更新を禁止するように RLM Web サーバーを変更する必要があります。 Foundry Licensing Utility (FLU) を使用すると、ライセンス ファイルを安全に更新できることに注意してください。

  1. Web UIのステータスページで「EDIT rlm Options」ボタンをクリックします。
    名前のない
  2. [RLM オプション] ボックスに次のように入力します。

    EXCLUDE edit_rlm_options インターネット *
    名前のない

  3. 「更新オプション」をクリックします
    名前のない

  4. [RLM オプションの編集] ボタンがステータス ページに表示されなくなっていることを確認します。
    名前のない
  5. ライセンス ファイルの編集ページで権限が拒否されていることを確認します。
    名前のない

RLM Web インターフェイスの他のすべての機能には引き続きアクセスできるはずです

Linux ユーザー

  1. 次のコマンドを実行します。
sudo bash -c 'echo "EXCLUDE edit_rlm_options internet *" >> /opt/ Foundry LicensingUtility/bin/rlm.opt'
  1. RLM サーバーを再起動します

上記の軽減策は、リモート コード実行の脆弱性からのみ保護されることに留意してください。

「軽減策: パスワード認証を有効にする」セクションの手順に従って認証を有効にしてください。

RLM Web サーバーには、潜在的に機密データへの暗号化および認証されていないアクセスに関連する追加の脆弱性もあるため、RLM Web サーバーへのアクセスを保護するには追加の緩和策を検討する必要があります。

軽減策: パスワード認証を有効にする
 

重要: RLM サーバーを再インストールすると (FLU を使用した再インストールを含む)、設定が変更され、RLM Web サーバー コンポーネントが再度有効になる場合があります。 RLM サーバーのインストール後は、RLM Web サーバーが適切に非アクティブ化されたままになるように注意する必要があります。

簡単な軽減策 (3): パスワード認証を有効にする: Linux

  1. 次のコマンドを実行します。
sudo bash -c 'echo "admin::all" >> /opt/ Foundry LicensingUtility/bin/rlm.pw'
  1. RLM サーバーを再起動します
  2. ユーザー名「admin」でログインし、パスワードフィールドを空白のままにします。
  3. 「パスワード変更」を選択し、パスワードを強力なパスワードに変更してください。

簡単な軽減策 (3): パスワード認証を有効にする: Windows

  1. スタート メニューでコマンド プロンプトを見つけ、右クリックして「管理者として実行」します。
    名前のない
  2. 次のコマンドを実行します。

    echo admin::all > "C:\Program Files\The Foundry \LicensingTools8.0\bin\RLM\rlm.pw"
  3. スタート メニューで「サービス」アプリケーションを開き、「Foundry License Server」を見つけて右クリックし、「再起動」を選択します。
    名前のない
  4. ユーザー名「admin」を使用して RLM Web ユーザー インターフェイスにログインし、パスワード フィールドを空白のままにします。
  5. 「パスワード変更」を選択し、パスワードを強力なパスワードに変更してください。

    私たちはそれを聞いて申し訳ございません

    理由をお聞かせください