Q100675: セキュリティに関するお知らせ - RLM Web Server コンポーネントは、ホストサーバー上でリモートコード実行の脆弱性 (RCE) の影響を受ける可能性があります。

  1. Foundry
  2. 一般的なサポート
  3. ニュース

まとめ

Foundry 、RLM サービスの構成方法によっては、RLM Web サーバー コンポーネントがホスト サーバー上でリモート コード実行の脆弱性 (RCE) の影響を受ける可能性があることを認識しています。

さらに、RLM Web サーバー コンポーネントは、追加の認証および承認の脆弱性の影響を受ける可能性があります。

執筆時点では、これは RLM 12 に影響することが分かっていますが、このソフトウェアの他のバージョンにも適用される可能性があります。

RCE 脆弱性に関する詳細はCVE-2018-15573に記載されており、Windows サーバーに関係していますが、 Foundryエンジニアは同様の RCE 脆弱性が Linux サーバーや macOS サーバーにも適用される可能性があると判断しました。

認証および承認の脆弱性に関する詳細は、 SecListsで確認できます。

: この記事は、ネットワークとライセンス管理に関するある程度の知識を前提としており、IT 管理者を対象としています。

詳細情報

このアドバイザリは、組み込みの RLM Web サーバー コンポーネントが付属する RLM フローティング ライセンス サーバーを使用しているお客様に適用されます。

お客様には、RLM サーバーの組み込み RLM Web サーバー機能を無効にすることをお勧めします。

RLM Webサーバーは、RLMフローティングライセンスサーバーの設定に使用できる補助ツールです。Foundry Licensing Utility ( Foundry ) またはrlmutilの代替として使用できます。

RLM Web Serverコンポーネントを使用する代わりに、ライセンスの追加や更新など、RLMサーバーの設定変更には、 Foundry Licensing Utility (FLU)またはrlmutilsを使用する必要があります。詳細については、Q100027「フローティング/サーバーライセンスのインストール方法」およびQ100659「RLMユーティリティ(rlmutil)とは何ですか?また、どのように使用できますか?」を参照してください。

この RLM Web サーバー コンポーネントを無効にする手順については、以下の「軽減策: RLM Web サーバーを無効にする」セクションで説明されています。

RLM Web サーバーを引き続き使用したいお客様は、以下の「緩和策: リモート ライセンス ファイルの更新を無効にして RCE を防止する」セクションの手順に従う必要がありますが、 Foundry Web サーバー コンポーネントを完全に無効にすることを推奨しています。

お客様には、ベスト プラクティスを継続的に適用し、内部ネットワークをインターネット全体から隔離することが推奨されます。

Foundry 、このナレッジベースの記事に記載されている緩和策を将来のソフトウェア リリースに適用できるように、 Foundry Licensing Utility (FLU) にパッチを適用するための積極的な措置を講じています。

緩和策: RLM Web サーバーを無効にする

重要: RLMサーバーを再インストールすると(FLUを使用した再インストールを含む)、設定が変更され、RLM Webサーバーコンポーネントが再度有効化される可能性があります。RLMサーバーのインストール後は、RLM Webサーバーが適切に無効化された状態を維持するよう注意してください。


RLM Webインターフェースを無効にする: Linux

  1. RLMサーバーを停止する 
/etc/init.d/ foundry rlmserver stop
  1. /etc/init.d/foundry rlmserver を編集し、次foundry行を置き換えます。 
${BIN_DIR}/rlm.foundry -ws 4102 -c ${LIC_FILES} -dlog ${LOG_DIR}/ foundry .log & >> ${LOG_DIR}/boot.log 2>&1

${BIN_DIR}/rlm.foundry -nows -c ${LIC_FILES} -dlog ${LOG_DIR}/ foundry .log & >> ${LOG_DIR}/boot.log 2>&1
  1. RLMサーバーを再起動します

RLM Webインターフェースを無効にする: Windows

  1. スタートメニューから「サービス」アプリケーションを開きます
  2. 「Foundry License Server」サービスを見つけて右クリックし、ポップアップメニューから「停止」を選択します。
    名前なし
  3. スタートメニューから「レジストリエディター」アプリケーションを開きます。
  4. 上部のテキスト フィールドに次のパスを入力し、Enter キーを押します。

     Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Foundry License Server

    名前なし
  5. 「画像パス」をダブルクリックします
    名前なし

  6. 「文字列の編集」ダイアログを使用して、次の行の部分を置き換えます。 

    “-ws” “4102”

    と: 

    “-nows”

    Foundry Licensing Tools 8.0 をデフォルトのインストール場所で使用している場合、完全な行は次のようになります。
     

    "C:\Program Files\The Foundry \\LicensingTools8.0\bin\RLM\rlm.foundry.exe" "-c" "C:\ProgramData\The Foundry \RLM" "-nows" "-dlog" 
    "C:\ProgramData\The Foundry \RLM\log\\foundry.log" -service
  7. 手順 1 のサービス アプリケーションからライセンス サーバーを再起動します。「Foundry License Server」を右クリックし、サブメニューから「開始」を選択します。
    名前なし
  8. Web ブラウザでhttp://127.0.0.1:4102/を開いて、RLM Web インターフェイスにアクセスできなくなっていることを確認します。

RLM Webインターフェースを無効にする: macOS

  1. RLMサーバーを停止する
  2. /Library/LaunchDaemons/に移動しテキスト エディターでファイルuk.co.thefoundry.rlm.plistを編集して、次の行を更新します。 
<string>/Applications/TheFoundry/LicensingTools8.0/bin/RLM/rlm.foundry</string>
<string>-ws</string>
<string>4102</string>
<string>-c</string>

<string>/Applications/TheFoundry/LicensingTools8.0/bin/RLM/rlm.foundry</string>
<string>-nows</string>
<string>-c</string>
  1. ターミナルを起動し、次のコマンドで RLM デーモンをリロードします。
 sudo launchctl unload /Library/LaunchDaemons/uk.co.thefoundry.rlm.plist
 sudo launchctl load /Library/LaunchDaemons/uk.co.thefoundry.rlm.plist

4. サーバーを起動する

5. ブラウザの URL でHOSTNAME:4102に移動して、これが無効になっていることをテストします。

緩和策: リモートライセンスファイルの更新を無効にして RCE を防ぐ
 

重要: RLMサーバーを再インストールすると(FLUを使用した再インストールを含む)、設定が変更され、RLM Webサーバーコンポーネントが再度有効化される可能性があります。RLMサーバーのインストール後は、RLM Webサーバーが適切に無効化された状態を維持するよう注意してください。

RCE脆弱性を防ぐには、RLM Webサーバーを変更し、インストール済みのライセンスファイルのリモート更新を禁止する必要があります。ただし、 Foundry Licensing Utility (FLU) を使用すれば、ライセンスファイルを安全に更新できます。

  1. Web UIのステータスページで「rlmオプションの編集」ボタンをクリックします。
    名前なし

  2. RLM オプション ボックスで、次のように入力します。

    edit_rlm_options インターネットを除外 *
    名前なし

  3. 更新オプションをクリック
    名前なし

  4. ステータス ページに [RLM オプションの編集] ボタンが表示されなくなったことを確認します。
    名前なし
  5. ライセンス ファイルの編集ページで権限が拒否されていることを確認します。
    名前なし

RLM Webインターフェースの他のすべての機能は引き続きアクセス可能です。

Linuxユーザー

  1. 次のコマンドを実行します。 
sudo bash -c 'echo "EXCLUDE edit_rlm_options internet *" >> /opt/ Foundry LicensingUtility/bin/rlm.opt'
  1. RLMサーバーを再起動します

上記の緩和策は、リモート コード実行の脆弱性からのみ保護することをご留意ください。

認証を有効にするには、 「軽減策: パスワード認証を有効にする」セクションの手順に従ってください。

RLM Web サーバーには、潜在的に機密性の高いデータへの暗号化されていない認証されていないアクセスに関連する追加の脆弱性もあるため、RLM Web サーバーへのアクセスを保護するために追加の緩和策を検討する必要があります。

軽減策: パスワード認証を有効にする
 

重要: RLMサーバーを再インストールすると(FLUを使用した再インストールを含む)、設定が変更され、RLM Webサーバーコンポーネントが再度有効化される可能性があります。RLMサーバーのインストール後は、RLM Webサーバーが適切に無効化された状態を維持するよう注意してください。

クイック緩和策(3):パスワード認証を有効にする:Linux

  1. 次のコマンドを実行します。 
sudo bash -c 'echo "admin::all" >> /opt/ Foundry LicensingUtility/bin/rlm.pw'
  1. RLMサーバーを再起動します
  2. ユーザー名「admin」でログインし、パスワード フィールドは空白のままにします。
  3. 「パスワードの変更」を選択し、パスワードを強力なパスワードに変更します。

クイック緩和策(3):パスワード認証を有効にする:Windows

  1. スタートメニューでコマンドプロンプトを見つけて右クリックし、「管理者として実行」を選択します。
    名前なし

  2. 次のコマンドを実行します。
     

    echo admin::all > "C:\Program Files\The Foundry \LicensingTools8.0\bin\RLM\rlm.pw"
  3. スタートメニューで「サービス」アプリケーションを開き、「Foundry License Server」を見つけて右クリックし、再起動を選択します。
    名前なし
  4. ユーザー名「admin」で RLM Web ユーザー インターフェイスにログインし、パスワード フィールドは空白のままにします。
  5. 「パスワードの変更」を選択し、パスワードを強力なパスワードに変更します。

    私たちはそれを聞いて申し訳ございません

    理由をお聞かせください