La versión de la biblioteca Sustainsys.Saml2 se ha actualizado a 1.0.2.

FlexNet Manager Suite versión 2022 R1

Debido a la vulnerabilidad de seguridad CVE-2020-5268, la versión de la biblioteca Sustainsys.Saml2 se ha actualizado a 1.0.2.

La vulnerabilidad de seguridad afecta a las versiones 2016 R1 SP1 de FlexNet Manager Suite (publicada el 15 de diciembre de 2016) en adelante. Ya se han iniciado medidas correctivas para garantizar que esta vulnerabilidad no exista en FlexNet Manager Suite 2022 R1.

Resumen CVE-2020-5268

A pesar de tener especificado otro método de confirmación de sujeto, la biblioteca Sustainsys.Saml2 trata incorrectamente todos los tokens entrantes como tokens de portador. Los atacantes pueden aprovechar esta vulnerabilidad para acceder a los tokens de Saml2 con un método de confirmación de sujeto distinto de portador. En ese caso, el atacante puede utilizar este token para crear un inicio de sesión.

Cómo proceder

Para solucionar la vulnerabilidad de su entorno, proceda de este modo:
  • Actualice a FlexNet Manager Suite 2022 R1.
    Nota: Antes de actualizar, haga una copia de su configuración actual de kentor.authservices desde el archivo web.config. Más adelante necesitará esta información.

    Cuando haya actualizado a FlexNet Manager Suite 2022 R1, realice estas dos acciones:

  • Aplique la configuración kentor.authservices, utilizada en su versión anterior de FlexNet Manager Suite, a la nueva sección de sustainsys.saml2 del archivo web.config.
    • Los atributos y las propiedades siguen siendo los mismos y no es preciso actualizar ningún valor. Solo se necesita copiar y pegar la configuración kentor.authservices de la versión de FlexNet Manager Suite desde la que actualizó en la nueva sección de sustainsys.saml2, en el archivo web.config. Nota: compruebe que el atributo authenticationType del elemento signOn está definido en Saml.
  • Actualizar las URL de inicio y cierre de sesión únicos para el proveedor de identidad.
    • Actualizar https://wapsvr/Suite/AuthServices/Logout a https://wapsvr/Suite/Saml2/Logout.
    • Actualizar https://wapsvr/Suite/AuthServices/Acs a https://wapsvr/Suite/Saml2/Acs.

Los clientes que utilicen SSO no podrán iniciar sesión en FlexNet Manager Suite 2022 R1 a menos que hayan realizado las acciones anteriores.

La actualización FlexNet Manager Suite 2022 R1 no es obligatoria, y la autenticación SSO seguirá funcionando con normalidad tanto en las versiones existentes como en las nuevas instalaciones. No obstante, los clientes que trabajan con las versiones 2016 R1 SP1 de FlexNet Manager Suite en adelante podrían ser susceptibles a la vulnerabilidad de seguridad CVE-2020-5268.

FlexNet Manager Suite (Hospedaje local)

2022 R2