FAQ – Security Advisory 210423-02

_{FAQ last updated: 2021-06-15}

FAQ（Q＆A）

Q: 実際の状況はどの程度重大なのでしょうか？

A: CmWANは、デフォルトでは無効となっています。無効であれば、CVE-2021-20094は発生しません。CmWANが有効な場合、攻撃者がシステム自体または同じネットワーク上のシステムにアクセスすることが可能であれば、この脆弱性を悪用することも可能となります。しかし、CmWANサーバーにはインターネット経由でアクセスできますが、資格情報によってアクセスは保護されています。このシナリオにおいては、認証されたユーザーのみがインターネットを介して脆弱性を悪用できるということになります。

Q: CmWANが無効なことを確認するには、どうすればよいですか？

A: CodeMeterの起動時にロギング(例、CodeMeter Control Centerの[イベント]タブに表示）が、CmWANサーバーがアクティブであるかどうかをログに記録します。ログに「"Run as CmWAN server: no"（CmWANサーバーとして実行：いいえ）」と記載されている場合、CmWANサーバーは無効となっています。このように設定の場合、CVE-2021-20093が悪用されることはありません。

Q: すべてのシステムにアップデートをインストールする必要がありますか？

A: CmWANが有効な場合、CodeMeter Runtimeはすべてのプラットフォーム（Windows、macOS、Linux）で影響を受けます。

Q: システムは保護された環境で実行されています。それでも更新をインストールする必要がありますか？

A: CmWANサーバーをホスティングする場合、資格情報を有する場合のみインターネット経由のアクセスが可能であり、資格情報の無い攻撃者がネットワークにアクセスすることはできません。この場合、認証されたユーザーのみが、インターネット経由でCVE-2021-20094を悪用することができてしまいます。

ライセンシングにCodeMeterを使用するソフトウェアベンダー向けの追加のよくあるご質問（Q＆A）

Q: 保護されたソフトウェアを再暗号化する必要がありますか？

A: 必要ありません。セキュリティの脆弱性は、CodeMeter Runtimeを介してシステムにインストールされているコンポーネントにのみ影響します。ただし、CodeMeter Runtimeのインストールをインストーラーに統合している場合は、それを置き換える必要があります。

Q: CodeMeter License Centralに影響はありますか？

A: いいえ、CodeMeter License Centralはこのセキュリティの脆弱性の影響を受けません。CodeMeter License Centralが使用するCodeMeter License Serverは、CmWANサーバーとして実行するような設定はされていません。

Q: CodeMeter Runtimeを使用していませんが、アプリケーションにCodeMeter Embeddedを使用しています。CodeMeter Embeddedからのコードに、パッチをあてる必要はありますか？

A: いいえ、セキュリティの脆弱性はCodeMeter Runtimeのコンポーネントにのみ影響を及ぼします。報告された脆弱性が、CodeMeter Embeddedで悪用されることはありません。

Q: アクティブなCmDongleにファームウェア更新を適用する必要はありますか？

A: いいえ、セキュリティの脆弱性は、CodeMeter Runtimeを介して、システムにインストールされているコンポーネントにのみ影響を及ぼします。CodeMeterのハードウェアの機能は影響を受けないため、ファームウェアの更新は必要ありません。

Q: この脆弱性により、ライセンスやソフトウェアの保護は、意味をなさなくなるのでしょうか？

A: 今回のセキュリティの脆弱性は、ライセンシングや保護には影響ありません。

Q: なぜユーザーに通知する必要があるのですか？

A: 大企業や産業界では、最新の脆弱性情報を頻繁に確認しています。したがって、貴社のユーザーも認識することに繋がります。ユーザーに積極的に通知することで、ユーザーのシステムのセキュリティに対する責任を貴社が認識していることをユーザーに示すことができます。