Bezugnehmend auf unser Mailing vom 02.10.2020 möchten wir an dieser Stelle nochmals auf eine aufgetretene Sicherheitslücke in einer Komponente der Dongleverwaltung hinweisen.
Der Hersteller hat eine Sicherheitslücke festgestellt, nähere Informationen dazu finden Sie im unten stehenden Advisory. Die Dongleverwaltung wurde aufgrund dessen schnellstmöglich von uns für Sie aktualisiert und zum Download vorbereitet.
Teilen Sie diese Informationen bitte allen Kollegen und Kolleginnen, die den ELEKTROMANAGER oder fundamed in Verbindung mit der Donglelizenzierung in ihrem Unternehmen einsetzen, mit. Im untenstehenden Link erhalten Sie eine neue Version der Dongleverwaltung, gültig für Version 10 und 11.
Die MD5-Checksumme der Datei DongleVerwaltung_Setup.exe ist: 2eea44bf53c6f0dc2bb0efabb5cb0d9a
Weitere Informationen finden Sie im untenstehenden Security Advisory.
Mit freundlichen Grüßen
Ihr Team der MEBEDO GmbH
_________________________________________________________________________________________________________________________________
MEBEDO-SA-01-2020:WIBU Codemeter Runtime
Security Advisory
MEBEDO GmbH
Topic: WIBU Codemeter Runtime remote exploitbar
Category: Addins
Module: Codemeter Runtime-Umgebung für Dongles
Announced: 2020-09-29
Affects: Alle bisherigen Versionen der Lizendongles-Runtime
Corrected: 2020-09-30 12:11:23 (DongleVerwaltung_Setup.exe)
CVE Name: WIBU-200521-01 CVE-2020-14513
WIBU-200521-02 CVE-2020-14519
WIBU-200521-03 CVE-2020-14509
WIBU-200521-04 CVE-2020-14517
WIBU-200521-05 CVE-2020-16233
WIBU-200521-06 CVE-2020-14515
Für generelle Fragen zu MEBEDO Security Advisories wenden Sie sich bitte an
I. Background
Die WIBU Codemeter Runtime ist eine Applikation, die bei Benutzung der Dongle-Lizenzierung
auf dem System installiert sein muss, damit die von MEBEDO zur Verfügung gestellten Dongles
zur Lizenzierung des ELEKTROMANAGERS ausgelesen werden können.
In der Drittherstellerapplikation Codemeter Runtime sind einige Sicherheitslücken festgestellt worden,
über die ein Angreifer potentiell bösartigen Code in das betroffene System einschleusen kann.
Hierzu kann in speziellen Fällen auch der Besuch einer präparierten Webseite genügen.
II. Problem Description
In mehreren Fällen werden ungenügende Eingabevalidierungen bzw. Validierungen von Lizenzdaten vorgenommen,
die zum Crash der Applikation führen (Denial of Service).
In einem Fall lassen sich mittels präparierter Abfragen Daten aus dem Heap des Betriebssystems auslesen.
III. Impact
Ein Angreifer kann die Lizenzapplikaton zum Absturz bringen oder Daten vom Rechner abziehen oder manipulieren.
Hierzu muss das System erreichbar sein, d.h. ein Angreifer hat lokalen Zugang zum Rechner oder zum Netzwerksegment, in dem sich dieser befindet.
Befindet sich der Rechner in einem abgeschottetem Netzwerksegment, welcher keine Zugang zu externen Webseiten besitzt, ist dieser nicht remote exploitbar.
IV. Workaround
Der Netzwerkzugang bzw. die Websocket-Schnittstelle kann deaktiviert werden, um eine Ausnutzung der Lücke über Netzwerk zu verhindern:
Siehe auch: https://www.wibu.com/de/support/security-advisories.html
V. Solution
Von MEBEDO steht unter https://www.elektromanager.de/fileadmin/downloads/software/addins/11/11F01/MEBEDO/DongleVerwaltung_Setup-20200930.zip
eine neue Dongleverwaltung bereit. Diese muss eingespielt werden. Hierzu muss die laufende Applikation (ELEKTROMANAGER oder fundamed) beendet werden.