FAQ – Security Advisory 210423-02
Letzte Aktualisierung der FAQ: 2021-06-15
Häufig gestellte Fragen:
Frage: Wie hoch ist die Gefahr wirklich?
Antwort: CmWAN ist standardmäßig deaktiviert, das heißt falls Sie CmWAN nicht explizit aktiviert haben, besteht für Sie durch CVE-2021-20094 keine Gefahr.
Um die Schwachstellen ausnutzen zu können, muss ein Angreifer bei aktiviertem CmWAN entweder Zugriff auf das System selbst oder Zugriff auf ein System im selben Netzwerk haben. Die CmWAN Server sind zwar über das Internet erreichbar, allerdings werden für den Zugriff Anmeldedaten benötigt. Ein authentifizierter Nutzer könnte die Schwachstelle CVE-2021-20094 über das Internet ausnutzen.
Frage: Wie kann ich prüfen, dass CmWAN abgeschaltet ist?
Antwort: Beim Start von CodeMeter wird im Logging - sichtbar z.B. im Reiter Ereignisse des CodeMeter Kontrollzentrums - protokolliert, ob der CmWAN Server aktiv ist. Der CmWAN Server ist ausgeschaltet, wenn dort steht „Run as CmWAN server: no“. Wenn das dort steht, kann der CVE-2021-20093 nicht ausgenutzt werden.
Frage: Muss ich das Update auf allen Systemen einspielen?
Antwort: Bei aktiviertem CmWAN ist die CodeMeter Laufzeitumgebung (CodeMeter Runtime) auf allen Plattformen betroffen (Windows, macOS, Linux). Sie müssen das Update auf allen Systemen einspielen, auf denen Sie CmWAN aktiviert haben.
Frage: Meine Systeme laufen in einer abgesicherten Umgebung. Muss ich trotzdem das Update einspielen?
Antwort: Wenn Sie einen CmWAN Server betreiben, stellen Sie sicher, dass nur authentifizierte Nutzer Zugriff haben und Angreifer nicht in Ihrem Netzwerk Zugriff erlangen können. In diesem Fall kann die Schwachstelle CVE-2021-20094 nur von authentifizierten Nutzern ausgenutzt werden.
Häufig gestellte Fragen für Softwarehersteller, die mit CodeMeter lizenzieren:
Frage: Muss ich die geschützte Software neu verschlüsseln?
Antwort: Nein, die Sicherheitslücke betrifft nur Komponenten, die über die CodeMeter Runtime auf den Systemen installiert werden. Falls Sie die Installation der CodeMeter Runtime in Ihren Installer integriert haben, müssten Sie diese austauschen.
Frage: Ist CodeMeter License Central von den Schwachstellen betroffen?
Antwort: Nein, die CodeMeter License Central ist nicht von der Schwachstelle betroffen.
Der CodeMeter Lizenzserver, der von der CodeMeter License Central verwendet wird, ist nicht als CmWAN Server konfiguriert.
Frage: Ich verwende für meine Applikation nicht CodeMeter Runtime, sondern CodeMeter Embedded. Muss ich den Code aus CodeMeter Embedded patchen oder anpassen?
Antwort: Nein, die Sicherheitslücke betrifft nur Komponenten der CodeMeter Runtime. Die gemeldete Sicherheitslücke lässt sich bei CodeMeter Embedded nicht anwenden.
Frage: Muss ich ein Firmwareupdate bei den verwendeten CmDongles einspielen?
Antwort: Nein, die Sicherheitslücke betrifft nur Komponenten, die über die CodeMeter Runtime auf den Systemen installiert werden. Es sind keine Funktionen in der CodeMeter Hardware betroffen; daher ist auch keine Aktualisierung der Firmware notwendig.
Frage: Kann aufgrund der Sicherheitslücke die Lizenzierung oder der Schutz umgangen werden?
Antwort: Die Lizenzierung oder der Schutz können durch die Schwachstelle nicht direkt umgangen werden.
Frage: Warum sollte ich meine Kunden darüber informieren?
Antwort: Größere Firmen und Institutionen prüfen oft aktiv die Neuveröffentlichungen von Sicherheitsschwachstellen. Es besteht daher eine gewisse Wahrscheinlichkeit, dass Ihre Kunden das sowieso bemerken. Eine proaktive Information zeigt, dass Sie sich Ihrer Verantwortung für die Sicherheit der Kundensysteme bewusst sind.