FAQ – Security Advisory 200521
Letzte Aktualisierung der FAQ: 2020-10-09
Häufig gestellte Fragen:
Frage: Wie hoch ist die Gefahr wirklich?
Antwort: Um die Schwachstellen ausnutzen zu können, muss ein Angreifer entweder Zugriff auf das System selbst oder Zugriff auf ein System im selben Netzwerk haben. Der Angreifer muss also schon in das Netzwerk eingebrochen sein oder sich dort Zugang verschafft haben. Wenn er dies geschafft hat, kann er die angegebenen Sicherheitslücken ausnutzen.
Eine der Schwachstellen (CVE-2020-14519) kann allerdings schon durch den Aufruf einer entsprechend präparierten Webseite ausgenutzt werden.
Frage: Muss ich das Update auf allen Systemen einspielen?
Antwort: Es ist die CodeMeter Laufzeitumgebung (CodeMeter Runtime) auf allen Plattformen betroffen (Windows, macOS, Linux).
Frage: Meine Systeme laufen in einer abgesicherten Umgebung. Muss ich trotzdem das Update einspielen?
Antwort: Wenn Sie sicherstellen können, dass Angreifer nicht in Ihrem Netzwerk Zugriff erlangen können und nur Update-Dateien von vertrauenswürdigen Stellen verarbeitet werden, dann können die Schwachstellen nicht ausgenutzt werden und Sie könnten auf das Update verzichten. Wenn es von diesem Rechner möglich ist, Webseiten im Internet abzurufen, sollten Sie den Zugriff auf das WebSocket API sicherheitshalber deaktivieren (siehe unten).
Frage: Wann wird die Version 7.10a verfügbar sein?
Antwort:
Die Version CodeMeter 7.10a steht zum Download unter www.wibu.com/de/support/anwendersoftware/anwendersoftware.html zur Verfügung .
WebSocket API
Frage: Wofür und durch wen wird das WebSocket API verwendet?
Antwort: Das WebSocket API ermöglicht aus einem Webbrowser die Abfrage von Informationen über vorhandene CmContainer, das Erstellen von Context-Dateien und das Einspielen von Update-Dateien. Es wird üblicherweise ausschließlich durch das CodeMeter License Central WebDepot verwendet.
Der Software Activation Wizard, welcher die CodeMeter License Central Gateways verwendet, und die dateibasierte Aktivierung im CodeMeter License Central WebDepot verwenden nicht das WebSocket API.
Frage: Wie verhält sich das CodeMeter License Central WebDepot, wenn das WebSocket API deaktiviert ist oder wegen Inkompatibilität nicht geladen werden kann?
Antwort: Kann das WebDepot nicht oder nicht erfolgreich mit dem WebSocket API kommunizieren, so wird automatisch auf die dateibasierte Aktivierung gewechselt. Bei dieser muss der Anwender die Context-Dateien selbst erstellen und heruntergeladene Update-Dateien selbst anwenden. Prinzipiell sind aber alle Aktionen ebenfalls mit der dateibasierten Aktivierung möglich.
Frage: Was sind die Neuerungen des neuen WebSocket APIs in CodeMeter 7.10a?
Antwort: Die neue Version des WebSocket API verlangt zwingend die Verwendung eines durch Wibu-Systems ausgestellten Zertifikats für die Website, die mit dem CodeMeter Lizenzserver Informationen und Daten austauschen möchte. Die bisherige Version des WebSocket API wird standardmäßig deaktiviert.
Damit kann eine CodeMeter Laufzeitumgebung 7.10a nur noch mit entsprechend aktualisierten WebDepots eine direkte Aktivierung durchführen.
Frage: Wie kann ich für CodeMeter 7.10a das alte WebSocket API wieder aktivieren?
Antwort: Durch Setzen des Profiling-Eintrags 'CmWebSocketAllowWithoutOriginCheck' auf den Wert '1' kann nach einem CodeMeter Lizenzserver Neustart das alte WebSocket API ohne Origin-Prüfung wieder aktiviert werden. Damit kann ich trotz eines alten CodeMeter License Central WebDepots eine direkte Aktivierung durchführen.
Die Aktivierung des alten WebSocket API wird ausdrücklich nicht empfohlen. Bitte aktualisieren Sie das CodeMeter License Central WebDepot.
Frage: Wie kann das bisherige WebSocket API abgeschaltet werden und welche Auswirkungen hat das?
Antwort: Durch das Setzen des Profiling-Eintrags 'CmWebSocketApi' auf den Wert '0' und einen anschließenden Neustart des CodeMeter Lizenzservers kann das bisherige WebSocket API deaktiviert werden.
Das Abschalten des WebSocket APIs gilt nur für die bisherige WebSocket API Version ohne Origin-Prüfung. Sobald man die Version 7.10a installiert, ist das neue WebSocket API mit Origin-Prüfung verfügbar und aktiviert.
Das Abschalten des bisherigen WebSocket APIs wird insbesondere empfohlen, wenn eine CodeMeter Version kleiner 6.90 verwendet wird und nicht aktualisiert werden kann.
Durch das Abschalten des bisherigen WebSocket APIs kann die direkte Aktivierung im CodeMeter License Central WebDepot solange nicht mehr verwendet werden, bis die CodeMeter Laufzeitumgebung auf Version 7.10a aktualisiert wurde. Der Software Activation Wizard, welcher die CodeMeter License Central Gateways verwendet, und die dateibasierte Aktivierung im CodeMeter License Central WebDepot funktionieren weiterhin.
Frage: Wenn ich für eine ältere CodeMeter Version kleiner 7.10a jetzt das WebSocket API deaktiviere, werden diese dann durch ein Update auf eine neue Version wieder aktiviert?
Antwort: Ja, denn es werden nur die WebSockets ohne Origin-Prüfung abgeschaltet. Nach einem Update auf eine CodeMeter Version 7.10a oder neuer steht das neue WebSocket API mit Origin-Prüfung sofort zur Verfügung.
Häufig gestellte Fragen für Softwarehersteller, die mit CodeMeter lizenzieren:
Frage: Warum sollte ich meine Kunden darüber informieren?
Antwort: Größere Firmen und Institutionen prüfen oft aktiv die Neuveröffentlichungen von Sicherheitsschwachstellen. Es besteht daher eine gewisse Wahrscheinlichkeit, dass Ihre Kunden das sowieso bemerken. Eine proaktive Information zeigt, dass Sie sich Ihrer Verantwortung für die Sicherheit der Kundensysteme bewusst sind.
Frage: Muss ich die geschützte Software neu verschlüsseln?
Antwort: Nein, die Sicherheitslücken betreffen nur Komponenten, die über die CodeMeter Runtime auf den Systemen installiert werden. Falls Sie die Installation der CodeMeter Runtime in Ihren Installer integriert haben, müssten Sie diesen austauschen.
Frage: Muss ich ein Firmwareupdate bei den verwendeten CmDongles einspielen?
Antwort: Nein, die Sicherheitslücken betreffen nur Komponenten, die über die CodeMeter Runtime auf den Systemen installiert werden. Es sind keine Funktionen in der CodeMeter Hardware betroffen; daher ist auch keine Aktualisierung der Firmware notwendig.
[Hinzugefügt: 2020-10-09]
Frage: Betrifft dies CodeMeter License Central?
Antwort:
Ja. CodeMeter License Central verwendet CodeMeter Bibliotheken und ist daher möglicherweise von den Schwachstellen betroffen. License Central Versionen ab 3.00 wurden getestet und geprüft, ob sie mit der neuen Version von CodeMeter 7.10a funktionieren (insbesondere 3.00, 3.21a, 3.30a,b,c). Wenn Wibu-Systems Ihre CodeMeter License Central hostet, werden die Updates automatisch durchgeführt und Sie brauchen nichts zu tun. Andernfalls empfehlen wir Ihnen, die Version von CodeMeter manuell auf 7.10a zu aktualisieren. Eine Anleitung dazu finden Sie im Download-Bereich für Entwickler unter www.wibu.com/de/support/entwickler/software-development-kit.html im Bereich "CodeMeter License Central Updates" als "Update 3.x | CodeMeter 7.10a".
Frage: Ich verwende für meine Applikation nicht CodeMeter Runtime, sondern CodeMeter Embedded. Muss ich den Code aus CodeMeter Embedded patchen oder anpassen?
Antwort: Nein, die Sicherheitslücken betreffen nur Komponenten der CodeMeter Runtime. Die gemeldeten Sicherheitslücken lassen sich bei CodeMeter Embedded nicht anwenden.
Frage: Kann aufgrund der Sicherheitslücken die Lizenzierung oder der Schutz umgangen werden?
Antwort: Im Falle von CmActLicense Firm Codes (Firm Code 5.xxx.xxx) besteht die Möglichkeit, dass Lizenzen manipuliert werden (CVE-2020-14515). Konkret können bestehende gültige Lizenzen durch ein manipuliertes Update ungültig oder ungültige Lizenzen durch ein manipuliertes Update wieder gültig werden. Ein Angreifer kann auch neue, allerdings ungültige, Lizenzen erstellen. Um den Angriff ausführen zu können, muss der Angreifer in Besitz einer gültigen Update-Datei kommen, welche noch nicht eingespielt wurde. Ist die Lizenz zudem noch an einen Rechner gebunden, kann der Angreifer mit einer Update-Datei immer nur diese eine Lizenz angreifen, für die er die Update-Datei besitzt.
Die weiteren Sicherheitslücken betreffen den Zugriff auf Speicher und die Ausführung von Befehlen auf dem Betriebssystem und betreffen die Lizenzierung oder den Schutz nicht direkt.
WebSocket API
Frage: Wann wird eine Version des CodeMeter License Central WebDepots zur Verfügung stehen, das das WebSocket API mit der neuen Origin-Prüfung unterstützt?
Antwort: Es ist ein Patch verfügbar, der alle CodeMeter License Central WebDepot-Versionen, beginnend mit 14.01.111.500, in die Lage versetzt, mit dem alten und neuen WebSocket API zu kommunizieren. Dieser Patch kann von Softwareherstellern, die ein WebDepot selbst betreiben, von unserer Homepage im Entwicklerbereich unter „CodeMeter License Central Internet Extensions“ heruntergeladen werden.
Frage: Wird das neue CodeMeter License Central WebDepot sowohl das alte als auch das neue WebSocket API unterstützen?
Antwort: Ja, das CodeMeter License Central WebDepot unterstützt nach der Aktualisierung standardmäßig beide Versionen. Damit können sowohl Anwender mit alter, nicht aktualisierte CodeMeter Laufzeitumgebung als auch Anwender mit aktueller CodeMeter Laufzeitumgebung eine direkte Aktivierung durchführen.