重要脆弱性情報 1. 実行サマリー CVSS v3: 10.0 注意: リモートから利用可能/攻撃の複雑性は低い ベンダー: Wibu-Systems AG デバイス: CodeMeter 脆弱性: - バッファアクセスおよび誤った長さの値による問題 CWE-805 - 暗号化強度の不足 CWE-326 - 発信元の検証エラー CWE-346 - 不適切な入力検証 CWE-20 - 暗号化署名検証の不適切さ CWE-347 - リソースの不適切なクローズまたは解放 CWE-404 2. 更新情報 この更新勧告は、2021年2月11日にICSウェブサイトで公開されたICS勧告 ICSA-20-203-01 Wibu-Systems CodeMeter (Update E) に続く後続の更新です。 3. リスク評価 これらの脆弱性が正常に利用されると、攻撃者はライセンスファイルの改ざんおよび偽造が可能となり、サービスの停止、リモートコード実行の取得、ヒープデータの読み取り、およびCodeMeterに依存するサードパーティソフトウェアの正常な動作の阻害を招く可能性があります。 4. 技術的詳細 4.1 影響を受ける製品 7.10aより前のすべてのバージョンはCVE-2020-14509およびCVE-2020-14519の影響を受けます。 7.10aより前のすべてのバージョンはCVE-2020-14517の影響を受けます。 7.10より前のすべてのバージョンはCVE-2020-16233の影響を受けます。 6.81より前のすべてのバージョンはCVE-2020-14518の影響を受けます。 CmActLicense更新ファイルとCmActLicense社コードを使用している場合、6.90より前のすべてのバージョンはCVE-2020-14515の影響を受けます。 4.2 脆弱性の概要 4.2.1 誤った長さの値を伴うバッファアクセス CWE-805 4.2.2 暗号化強度の不足 CWE-326 4.2.3 発信元の検証エラー CWE-346 4.2.4 不適切な入力検証 CWE-20 4.2.5 暗号化署名検証の不適切さ CWE-347 4.2.6 リソースの解放異常または解放の失敗 CWE-404 5. 緩和策 CodeMeter Runtimeの最新バージョンに更新する。 CodeMeterをクライアントとしてのみ実行する。 内部WebSocket APIの代わりに新しいREST APIを使用する。 WebSocket APIを無効にする。 AxProtectorを使用する。 その他 ベンダーは、脆弱性が利用されるリスクを軽減するために製品内に防御策を適用すべきです。