Security Advisories
Wibu-SystemsのSecurity Advisoriesは、セキュリティの脆弱性についてお客様に通知し、そのような脆弱性に関連するリスクを最小化および軽減する方法に関するガイダンスを提供するために発行されています。
| Advisory | CVE | CVSS Score | Last updated | Version |
| WIBU-200521-01 | CVE-2020-14513 | 7.5 | 4 Sept. 2020 | 1.2 |
| WIBU-200521-02 | CVE-2020-14519 | 8.1 | 7 Sept. 2020 | 1.1 |
| WIBU-200521-03 | CVE-2020-14509 | 10.0 | 4 Sept. 2020 | 1.1 |
| WIBU-200521-04 | CVE-2020-14517 | 9.4 | 4 Sept. 2020 | 1.1 |
| WIBU-200521-05 | CVE-2020-16233 | 7.5 | 4 Sept. 2020 | 1.1 |
| WIBU-200521-06 | CVE-2020-14515 | 7.4 | 4 Sept. 2020 | 1.1 |
Wibu-Systemsは、予告なしにいつでもこのコンテンツを変更または更新する権利を留保しています。
よくある質問(Q&A)
Q: 実際の状況はどの程度重大なのでしょうか?
A: 脆弱性を悪用するには、攻撃者はシステム自体にアクセスするか、同じネットワーク上のシステムにアクセスする必要があります。攻撃者は既にネットワークに侵入している、またはアクセスしている必要があります。その場合、彼らは特定の脆弱性を利用することができます。ただし、脆弱性の1つ(CVE-2020-14519)は、適切に準備されたWebページを呼び出すだけで悪用される可能性があります。
Q: すべてのシステムにアップデートをインストールする必要がありますか?
A: すべてのプラットフォーム(Windows、macOS、Linux)のCodeMeter Runtimeが影響を受けます。
Q: システムは保護された環境で実行されています。それでも更新をインストールする必要がありますか?
A: 攻撃者がネットワークにアクセスできず、信頼できるソースからのUpdated Filesのみが処理されることを確認できる場合、脆弱性が悪用されることはなく、更新は不要です。そのコンピューターからインターネット上のWebサイトにアクセスできる場合は、セキュリティ上の理由から、WebSocket APIへのアクセスを無効にする必要があります(以下を参照)。
Q: バージョン7.10aはいつ利用可能になりますか?
A: CodeMeter 7.10aのバージョンは、2020年9月17日にwww.wibu.com/support.htmlからダウンロードできます
Q: バージョン7.10aが利用可能になるまでは、どうすればよいですか?
A: ほとんどの脆弱性は以前のバージョンですでに修正されています(例:6.81または7.10)。現在のバージョン7.10には、すべてのCVEを修正または軽減するための対策が含まれています。バージョン7.10aでは、残りのリスクを排除するためのさらなる対策が実装されます。私たちの知る限りでは、リストされた脆弱性のいずれも、これまで積極的に使用されていません。 今すぐバージョン7.10に更新してからバージョン7.10aに更新するか、または直接バージョン7.10aに更新するかは、お客様固有の状況を考慮して、ご判断頂く必要があります。
WebSocket API
Q: WebSocket APIは何のために、そして誰によって使用されますか?
A: WebSocket APIを使用すると、Webブラウザーから既存のCmContainerに関する情報を照会し、Context Fileを作成して、Update Fileをインポートできます。通常、CodeMeter License Central WebDepotでのみ使用されます。CodeMeter License Central Gatewayを使用するSoftware Activation Wizardと、CodeMeter License Central WebDepotでのファイルベースのアクティベーションは、WebSocket APIを使用していません。
Q: WebSocket APIが無効になっているか、互換性がないためにロードできない場合、CodeMeter License Central WebDepotはどのように動作しますか?
A: WebDepotがWebSocket APIと正常に通信できない場合、自動的にファイルベースのアクティベーションに切り替わります。この場合、ユーザーはContext Fileを作成し、ダウンロードしたUpdate Fileを自分で適用させる必要があります。ただし、原則として、すべてのアクションはファイルベースのアクティベーションでも可能です。
Q: CodeMeterバージョン7.10aの新しいWebSocket APIの新機能は何ですか?
A: WebSocket APIの新しいバージョンでは、CodeMeter License Serverと情報やデータを交換するWebサイト用にWibu-Systemsが発行した証明書を使用する必要があります。以前のバージョンのWebSocket APIはデフォルトで無効になっています。
つまり、CodeMeterランタイム環境バージョン7.10aは、適切に更新されたWebDepotでのみ直接アクティべーションを実行できます。
Q: CodeMeterバージョン7.10aの古いWebSocket APIを再アクティブ化するにはどうすればよいですか?
A: プロファイリングエントリ 'CmWebSocketAllowWithoutOriginCheck'を値 '1'に設定し、CodeMeter License Serverを再起動することで、元のチェックなしで古いWebSocket APIを再アクティブ化できます。これにより、古いCodeMeter License Central WebDepotを使用しているにもかかわらず、直接アクティベーションを実行できます。
古いWebSocket APIをアクティブにすることはお勧めしません。CodeMeter License Central WebDepotを更新してください。
Q: 古いWebSocket APIをオフにするにはどうすればよいですか?また、どのような影響がありますか?
A: プロファイリングエントリ「CmWebSocketApi」を値「0」に設定し、CodeMeter License Serverを再起動することで、古いWebSocket APIを無効化できます。
WebSocket APIの無効化は、発行元検証なしの古いWebSocket APIバージョンにのみ適用されます。バージョン7.10aをインストールすると、発信元検証を備えた新しいWebSocket APIが使用可能になり、有効になります。
バージョン6.90より前のCodeMeterを使用していて更新できない場合は、無効化を特にお勧めします。WebSocket APIを無効にすると、CodeMeter Runtimeがバージョン7.10a以降に更新されるまで、CodeMeter License Central WebDepotで直接アクティべーションできなくなります。CodeMeter License Central Gatewayを使用するSoftware Activation WizardとCodeMeter License Central WebDepotでのファイルベースのアクティベーションは引き続き機能します。
Q: 7.10aより前の古いバージョンのCodeMeterでWebSocket APIを無効化した場合、新しいバージョンに更新することで再アクティブ化されますか?
A: はい。無効化は、発行元検証なしの古いWebSocket APIに対してのみ永続的です。CodeMeterバージョン7.10a以降に更新すると、発行元検証を備えた新しいWebSocket APIがすぐに利用可能になります。
CodeMeterのライセンスを取得しているソフトウェアベンダー向けの追加のよくある質問(Q&A)
Q: なぜユーザーに通知する必要があるのですか?
A: 大企業や業界機関は、新しいリリースの脆弱性を頻繁に確認しています。したがって、ユーザーも認識することに繋がります。ユーザーに事前に通知することで、ユーザーのシステムのセキュリティに対する責任を認識していることを示します。
Q: 保護されたソフトウェアを再暗号化する必要がありますか?
A: 必要ありません。セキュリティの脆弱性は、CodeMeter Runtimeを介してシステムにインストールされているコンポーネントにのみ影響します。ただし、CodeMeter Runtimeのインストールをインストーラーに統合している場合は、それを置き換える必要があります。
Q: この脆弱性により、ライセンスやソフトウェア保護を回避できますか?
A: CmActLicense Firm Code(Firm Code 5.xxx.xxx)の場合、ライセンスが操作される可能性があります(CVE-2020-14515)。具体的には、操作されたUpdate Fileによって既存の有効なライセンスを無効にしたり、操作されたUpdate Fileによって無効なライセンスを再度有効にしたりできます。攻撃者は、新しい(無効ですが)ライセンスを作成することもできます。攻撃を実行するには、攻撃者はまだインストールされていない有効な更新ファイルを持っている必要があります。ライセンスもコンピューターにバインドされている場合、攻撃者は、更新ファイルを持っているこの1つのライセンスのみを攻撃できます。
その他のセキュリティホールは、メモリへのアクセスとOSでのコマンドの実行に関係し、ライセンスや保護には直接影響しません。
WebSocket API
Q: 新しい発行元検証でWebSocket APIをサポートするバージョンのCodeMeter License Central WebDepotが利用可能になるのはいつですか?
A: CodeMeterバージョン7.10aのリリースと同時に、更新されたCodeMeter License Central WebDepotを提供する予定です。
Q: 新しいCodeMeter License Central WebDepotは、古いWebSocket APIと新しいWebSocket APIの両方をサポートしますか?
A: はい、CodeMeter License Central WebDepotはデフォルトで両方のバージョンをサポートします。これにより、更新されていない古いCodeMeterランタイム環境を持つユーザーと現在のCodeMeterランタイム環境を持つユーザーの両方が直接アクティブ化できます。