概括
Foundry意识到,根据 RLM 服务的配置方式,RLM Web 服务器组件可能容易受到主机服务器上的远程代码执行漏洞 (RCE) 的影响。
此外,RLM Web 服务器组件可能容易受到其他身份验证和授权漏洞的影响。
截至撰写本文时,已知此问题会影响 RLM 12,但也可能适用于该软件的更多版本。
有关 RCE 漏洞的更多信息可以在CVE-2018-15573中找到,该漏洞与 Windows 服务器有关,但Foundry工程师已确定类似的 RCE 漏洞也可能适用于 Linux 和 macOS 服务器。
有关身份验证和授权漏洞的更多信息,请参阅SecLists 。
注意:本文假定读者具备一定的网络和许可证管理知识,主要面向 IT 管理员。
更多信息
本建议适用于使用 RLM 浮动许可证服务器的客户,这些服务器附带嵌入式 RLM Web 服务器组件。
我们建议客户禁用其 RLM 服务器的嵌入式 RLM Web 服务器功能。
RLM Web 服务器是一个辅助工具,可用于配置 RLM 浮动许可证服务器。它是Foundry Licensing Utility (FLU) 或 rlmutil 的替代方案。
客户不应使用 RLM Web 服务器组件,而应使用Foundry Licensing Utility (FLU) 或 rlmutils 来进行 RLM 服务器配置更改,例如添加或更新许可证。有关更多信息,请参阅Q100027:如何安装浮动/服务器许可证和Q100659:什么是 RLM 实用程序 (rlmutil) 以及如何使用它?
禁用此 RLM Web 服务器组件的步骤如下“缓解措施:禁用 RLM Web 服务器”部分所述。
希望继续使用 RLM Web 服务器的客户应按照以下“缓解措施:通过禁用远程许可证文件更新来防止 RCE”部分中的步骤进行操作,尽管Foundry建议完全禁用 Web 服务器组件。
我们鼓励客户继续应用最佳实践,并将内部网络与更广泛的互联网隔离开来。
Foundry正在积极采取措施,修补我们的Foundry许可实用程序 (FLU),以便将此知识库文章中的缓解措施应用于未来的软件版本。
缓解措施:禁用 RLM Web 服务器
| 重要提示:重新安装 RLM 服务器(包括使用 FLU 重新安装)可能会更改设置,并可能重新启用 RLM Web 服务器组件。RLM 服务器安装完成后,务必确保 RLM Web 服务器保持适当的禁用状态。 |
禁用 RLM Web 界面:Linux
- 停止 RLM 服务器
/etc/init.d/ foundry rlmserver stop
- 编辑 /etc/init.d/foundry foundry文件,替换以下行:
${BIN_DIR}/rlm.foundry -ws 4102 -c ${LIC_FILES} -dlog ${LOG_DIR}/ foundry .log & >> ${LOG_DIR}/boot.log 2>&1
和
${BIN_DIR}/rlm.foundry -nows -c ${LIC_FILES} -dlog ${LOG_DIR}/ foundry .log & >> ${LOG_DIR}/boot.log 2>&1
- 重启 RLM 服务器
禁用 RLM Web 界面:Windows
- 从“开始”菜单打开“服务”应用程序
- 找到“Foundry License Server”服务,右键单击该服务,然后从弹出菜单中选择“停止”:
- 从“开始”菜单打开“注册表编辑器”应用程序
-
在顶部的文本框中输入以下路径,然后按 Enter 键:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Foundry License Server
- 双击“图像路径”
-
使用“编辑字符串”对话框替换以下行:
“-ws” “4102”
和:
“-nows”
假设您使用的是安装在默认位置的Foundry Licensing Tools 8.0,则完整行现在应为:
"C:\Program Files\The Foundry \\LicensingTools8.0\bin\RLM\rlm.foundry.exe" "-c" "C:\ProgramData\The Foundry \RLM" "-nows" "-dlog"
"C:\ProgramData\The Foundry \RLM\log\\foundry.log" -service - 从步骤 1 开始,通过“服务”应用程序重新启动许可服务器,右键单击“Foundry License Server”,然后从子菜单中选择“启动”:
- 请通过在您的网络浏览器中打开http://127.0.0.1:4102/来确认 RLM 网络界面是否已无法访问。
禁用 RLM Web 界面:macOS
- 停止 RLM 服务器
-
导航至
/Library/LaunchDaemons/目录,使用文本编辑器编辑uk.co.thefoundry.rlm.plist文件,并更新以下几行:
<string>/Applications/TheFoundry/LicensingTools8.0/bin/RLM/rlm.foundry</string>
<string>-ws</string>
<string>4102</string>
<string>-c</string>
和
<string>/Applications/TheFoundry/LicensingTools8.0/bin/RLM/rlm.foundry</string>
<string>-nows</string>
<string>-c</string>
- 启动终端并使用以下命令重新加载 RLM 守护进程:
sudo launchctl unload /Library/LaunchDaemons/uk.co.thefoundry.rlm.plist
sudo launchctl load /Library/LaunchDaemons/uk.co.thefoundry.rlm.plist
4. 启动服务器
5. 通过在浏览器地址栏中访问HOSTNAME:4102来测试此功能是否已被禁用。
缓解措施:通过禁用远程许可证文件更新来防止远程代码执行 (RCE)。
| 重要提示:重新安装 RLM 服务器(包括使用 FLU 重新安装)可能会更改设置,并可能重新启用 RLM Web 服务器组件。RLM 服务器安装完成后,务必确保 RLM Web 服务器保持适当的禁用状态。 |
为防止远程代码执行 (RCE) 漏洞,需要修改 RLM Web 服务器,禁止远程更新已安装的许可证文件。请注意,您仍然可以使用Foundry Licensing Utility (FLU) 安全地更新许可证文件。
- 在 Web UI 的状态页面上,单击“编辑 rlm 选项”按钮。
-
在 RLM 选项框中,输入:
排除 edit_rlm_options internet *
点击“更新选项”
- 确认状态页面上不再显示“编辑 RLM 选项”按钮:
- 确认在编辑许可证文件页面上权限已被拒绝:
RLM Web界面的所有其他功能仍然可用。
Linux 用户
- 运行以下命令:
sudo bash -c 'echo "EXCLUDE edit_rlm_options internet *" >> /opt/ Foundry LicensingUtility/bin/rlm.opt'
- 重启 RLM 服务器
请注意,上述缓解措施仅能保护您免受远程代码执行漏洞的攻击。
请按照“缓解措施:启用密码验证”部分中的步骤启用身份验证。
RLM Web 服务器还存在与未加密和未经身份验证的访问潜在敏感数据相关的其他漏洞,因此应考虑采取其他缓解措施来保护对 RLM Web 服务器的访问。
缓解措施:启用密码验证
| 重要提示:重新安装 RLM 服务器(包括使用 FLU 重新安装)可能会更改设置,并可能重新启用 RLM Web 服务器组件。RLM 服务器安装完成后,务必确保 RLM Web 服务器保持适当的禁用状态。 |
快速缓解措施(3):启用密码验证:Linux
- 运行以下命令:
sudo bash -c 'echo "admin::all" >> /opt/ Foundry LicensingUtility/bin/rlm.pw'
- 重启 RLM 服务器
- 使用用户名“admin”登录,密码字段留空。
- 选择“更改密码”,并将密码更改为强密码。
快速缓解措施(3):启用密码验证:Windows
- 在开始菜单中找到命令提示符,右键单击并选择“以管理员身份运行”:
-
运行以下命令:
echo admin::all > "C:\Program Files\The Foundry \LicensingTools8.0\bin\RLM\rlm.pw" - 打开开始菜单中的“服务”应用程序,找到“Foundry License Server”,右键单击并选择“重新启动”:
- 使用用户名“admin”登录RLM Web用户界面,密码字段留空。
- 选择“更改密码”,并将密码更改为强密码。
我们很遗憾听到
请告诉我们