FAQ – Security Advisory 210423-01

Teilen:

Letzte Aktualisierung der FAQ: 2021-06-15

Häufig gestellte Fragen:

Frage: Wie hoch ist die Gefahr wirklich?

Antwort: Um die Schwachstelle ausnutzen zu können, muss ein Angreifer entweder Zugriff auf das System selbst oder Zugriff auf ein System im selben Netzwerk haben. Der Angreifer muss also schon in das Netzwerk eingebrochen sein oder sich dort Zugang verschafft haben. Wenn er dies geschafft hat, kann er die angegebene Sicherheitslücke ausnutzen.

Frage: Muss ich das Update auf allen Systemen einspielen?

Antwort: Es ist die CodeMeter Laufzeitumgebung (CodeMeter Runtime) auf allen Plattformen betroffen (Windows, macOS, Linux).

Frage: Meine Systeme laufen in einer abgesicherten Umgebung. Muss ich trotzdem das Update einspielen?

Antwort: Wenn Sie sicherstellen können, dass Angreifer nicht in Ihrem Netzwerk Zugriff erlangen können, dann kann die Sicherheitslücke nicht ausgenutzt werden und ein Update ist nicht zwingend nötig.

Häufig gestellte Fragen für Softwarehersteller, die mit CodeMeter lizenzieren:

Frage: Muss ich die geschützte Software neu verschlüsseln?

Antwort: Nein, die Sicherheitslücke betrifft nur Komponenten, die über die CodeMeter Runtime auf den Systemen installiert werden. Falls Sie die Installation der CodeMeter Runtime in Ihren Installer integriert haben, müssten Sie diesen austauschen.

Frage: Ist CodeMeter License Central von der Schwachstelle betroffen?

Antwort: Nein, die CodeMeter License Central ist nicht von der Schwachstelle betroffen.
Der CodeMeter Lizenzserver, der von der CodeMeter License Central verwendet wird, ist nicht als Netzwerkserver konfiguriert.

Frage: Ich verwende für meine Applikation nicht CodeMeter Runtime, sondern CodeMeter Embedded. Muss ich den Code aus CodeMeter Embedded patchen oder anpassen?

Antwort: Nein, die Sicherheitslücke betrifft nur Komponenten der CodeMeter Runtime. Die gemeldete Sicherheitslücke lassen sich bei CodeMeter Embedded nicht anwenden.

Frage: Muss ich ein Firmwareupdate bei den verwendeten CmDongles einspielen?

Antwort: Nein, die Sicherheitslücke betrifft nur Komponenten, die über die CodeMeter Runtime auf den Systemen installiert werden. Es sind keine Funktionen in der CodeMeter Hardware betroffen; daher ist auch keine Aktualisierung der Firmware notwendig.

Frage: Kann aufgrund der Sicherheitslücke die Lizenzierung oder der Schutz umgangen werden?

Antwort: Die Lizenzierung oder der Schutz können durch die Schwachstelle nicht umgangen werden.

Frage: Warum sollte ich meine Kunden darüber informieren?

Antwort: Größere Firmen und Institutionen prüfen oft aktiv die Neuveröffentlichungen von Sicherheitsschwachstellen. Es besteht daher eine gewisse Wahrscheinlichkeit, dass Ihre Kunden das sowieso bemerken. Eine proaktive Information zeigt, dass Sie sich Ihrer Verantwortung für die Sicherheit der Kundensysteme bewusst sind.

 

Nach oben