Dringende Sicherheitsinformation

Dringende Sicherheitsinformation

S-2020-02

Sicherheitsupdate S-2020-02

In der Software-Komponente "Wibu Codemeter Runtime", die auch in der baramundi Management Suite (bMS) Anwendung findet, wurden 2 kritische und 4 hohe Sicherheitslücken gefunden.

Durch diese Sicherheitslücken ist es u.a. möglich, dass Schadcode eingeschleust und auf den Serversystem ausgeführt werden kann. Sie eröffnen die Möglichkeit Lizenzdateien zu modifizieren und es besteht die Gefahr, dass sensible Daten mitgelesen und manipuliert werden.

Diese Sicherheitslücken wurden von baramundi analysiert und die damit verbundene Gefährdung der baramundi Management Suite insgesamt als kritisch eingestuft.

Wir empfehlen dringend die Lücken mit dem bereitgestellten Security-Update zu schließen.

Schweregrad

  • Kritisch, CVE-2020-14509, CVSS Rating: 10,0
  • Hoch, CVE-2020-14513, CVSS Rating: 7,5
  • Hoch, CVE-2020-14515, CVSS Rating: 7,4
  • Kritisch, CVE-2020-14517, CVSS Rating: 9,4
  • Hoch, CVE-2020-14519, CVSS Rating: 8,1
  • Hoch, CVE-2020-16233, CVSS Rating: 7,5

Betroffene Produkte

Die Versionen der baramundi Management Suite ab 2018 R1 sind betroffen.

Vorgehen zur Behebung der Schwachstelle

  1. Downloaden und entpacken Sie die folgende Security Update Datei: FixIt-CodeMeter.zip
  2. Führen Sie anschließend das entpackte Setup (FixIt-CodeMeter.exe) auf Ihrem baramundi Management Server und PXE-Relays aus
  3. Alle weiteren Aktionen werden vom Tool automatisch ausgeführt
  4. Erstellen Sie ggf. eine Firewall-Regel für eingehende Nachrichten (siehe Anmerkungen)

Wichtiger Hinweis

Das Security-Update behebt die Sicherheitslücken für die bMS-Versionen 2019 R12019 R2 und 2020 R1.
Kunden mit älteren bMS-Versionen empfehlen wir dringend auf die aktuellste Version zu wechseln und anschließend das Security Update auszuführen.

Anmerkungen

Die Versionsnummer der CodeMeter Runtime Komponenten lautet für alle gepatchten bMS Versionen:

  • Pfad: C:\Program Files (x86)\CodeMeter\Runtime\bin\
  • Datei Version: 7.10.4196.501
  • Produkt Version: 7.10a

Wibu hat in der Version 7.10a eine neue WebSocket API eingeführt, die per Konfiguration nicht deaktivierbar ist. Die bMS benötigt diese API für eine korrekte Funktionsweise nicht.
Deshalb wird empfohlen eine Firewall-Regel für eingehende Nachrichten für die CodeMeter.exe (Pfad: C:\Program Files (x86)\CodeMeter\Runtime\bin\) zu erstellen, die alle eingehenden Nachrichten aus privatem oder öffentlichem Netzwerk sowie Domänen, blockiert. Diese Regel muss nach dem Ausführen des Tools erstellt werden.