FAQ - Security Advisory 201218
Letzte Aktualisierung der FAQ: 2021-01-28
Häufig gestellte Fragen:
Frage: Wer ist betroffen?
Antwort: Es sind nur Softwarehersteller betroffen, die CodeMeter SDK Version kleiner als 7.20a oder ein AxProtector Developer Paket mit Version kleiner als 10.70a installiert haben. Anwender von geschützten Anwendungen sind davon nicht betroffen.
Frage: Sind Anwendungen betroffen, die mit dem AxProtector Java verschlüsselt wurden?
Antwort: Nein, verschlüsselte Anwendungen sind nicht betroffen.
Frage: Wie hoch ist die Gefahr wirklich?
Antwort: Die Schwachstellen in der XStream-Bibliothek können nicht über den AxProtector Java ausgenutzt werden, da wir die Empfehlungen von XStream für eine sichere Implementierung beachtet haben, nämlich die Verwendung einer Whitelist für XML-Klassen im AxProtector Java.
Durch die Kombination von möglichen weiteren Schwachstellen auf dem System könnte ein Angreifer die Schwachstellen in der XStream-Bibliothek ausnutzen.
Gemäß unserer Prozesse bzgl. sicherer Software haben wir im AxProtector Java 10.70 die XStream Version auf 1.4.14 aktualisiert in welcher die Schwachstelle CVE-2020-26217 bereits behoben ist.
Da die anderen zwei Schwachstellen (CVE-2020-26258 und CVE-2020-26259) erst am 15.12.2020 veröffentlicht wurden, wird die nächste AxProtector Version 10.70a die gefixte XStream Version 1.4.15 beinhalten.
Frage: Wann werden die aktualisierten AxProtector Java Versionen verfügbar sein?
Antwort: Die AxProtector Java Version 10.70 steht zum Download unter https://www.wibu.com/de/support/entwickler/software-development-kit.html zur Verfügung. Für Windows und macOS ist diese Version in CodeMeter Development Kit 7.20 enthalten. AxProtector Java Version 10.70a / CodeMeter Development Kit 7.20a wird im ersten Quartal 2021an gleicher Stelle bereitgestellt.
Frage: Kann aufgrund der Sicherheitslücken die Lizenzierung oder der Schutz umgangen werden?
Antwort: Nein, diese Schwachstellen haben keinerlei Auswirkungen auf die Lizenzierung oder den Schutz von Anwendungen.