Wichtige Mitteilung: MEBEDO Security Advisory

Bezugnehmend auf unser Mailing vom 02.10.2020 möchten wir an dieser Stelle nochmals auf eine aufgetretene Sicherheitslücke in einer Komponente der Dongleverwaltung hinweisen.

Der Hersteller hat eine Sicherheitslücke festgestellt, nähere Informationen dazu finden Sie im unten stehenden Advisory. Die Dongleverwaltung wurde aufgrund dessen schnellstmöglich von uns für Sie aktualisiert und zum Download vorbereitet.

Teilen Sie diese Informationen bitte allen Kollegen und Kolleginnen, die den ELEKTROMANAGER oder fundamed in Verbindung mit der Donglelizenzierung in ihrem Unternehmen einsetzen, mit. Im untenstehenden Link erhalten Sie eine neue Version der Dongleverwaltung, gültig für Version 10 und 11.

 

https://www.elektromanager.de/fileadmin/downloads/software/addins/11/11F01/MEBEDO/DongleVerwaltung_Setup-20200930.zip

 

Die MD5-Checksumme der Datei DongleVerwaltung_Setup.exe ist:  2eea44bf53c6f0dc2bb0efabb5cb0d9a

Weitere Informationen finden Sie im untenstehenden Security Advisory.

 

Mit freundlichen Grüßen

 

Ihr Team der MEBEDO GmbH

 

_________________________________________________________________________________________________________________________________

MEBEDO-SA-01-2020:WIBU Codemeter Runtime    

                                Security Advisory

                               MEBEDO GmbH

 

Topic:          WIBU Codemeter Runtime remote exploitbar

 

Category:       Addins

Module:         Codemeter Runtime-Umgebung für Dongles

Announced:    2020-09-29

Affects:            Alle bisherigen Versionen der Lizendongles-Runtime

Corrected:       2020-09-30 12:11:23  (DongleVerwaltung_Setup.exe)

               

CVE Name:           WIBU-200521-01              CVE-2020-14513

                              WIBU-200521-02             CVE-2020-14519

                              WIBU-200521-03             CVE-2020-14509

                              WIBU-200521-04             CVE-2020-14517

                              WIBU-200521-05             CVE-2020-16233

                              WIBU-200521-06             CVE-2020-14515

 

 

Für generelle Fragen zu MEBEDO Security Advisories wenden Sie sich bitte an

support(at)elektromanager.de

 

I.   Background

Die WIBU Codemeter Runtime ist eine Applikation, die bei Benutzung der Dongle-Lizenzierung

auf dem System installiert sein muss, damit die von MEBEDO zur Verfügung gestellten Dongles

zur Lizenzierung des ELEKTROMANAGERS ausgelesen werden können.

In der Drittherstellerapplikation Codemeter Runtime sind einige Sicherheitslücken festgestellt worden,

über die ein Angreifer potentiell bösartigen Code in das betroffene System einschleusen kann.

Hierzu kann in speziellen Fällen auch der Besuch einer präparierten Webseite genügen.

 

II.  Problem Description

In mehreren Fällen werden ungenügende Eingabevalidierungen bzw. Validierungen von Lizenzdaten vorgenommen,

die zum Crash der Applikation führen (Denial of Service).

In einem Fall lassen sich mittels präparierter Abfragen Daten aus dem Heap des Betriebssystems auslesen.

 

III. Impact

Ein Angreifer kann die Lizenzapplikaton zum Absturz bringen oder Daten vom Rechner abziehen oder manipulieren.

Hierzu muss das System erreichbar sein, d.h. ein Angreifer hat lokalen Zugang zum Rechner oder zum Netzwerksegment, in dem sich dieser befindet.

Befindet sich der Rechner in einem abgeschottetem Netzwerksegment, welcher keine Zugang zu externen Webseiten besitzt, ist dieser nicht remote exploitbar.

 

IV.  Workaround

Der Netzwerkzugang bzw. die Websocket-Schnittstelle kann deaktiviert werden, um eine Ausnutzung der Lücke über Netzwerk zu verhindern:

Siehe auch: https://www.wibu.com/de/support/security-advisories.html

 

V.   Solution

Von MEBEDO steht unter https://www.elektromanager.de/fileadmin/downloads/software/addins/11/11F01/MEBEDO/DongleVerwaltung_Setup-20200930.zip

eine neue Dongleverwaltung bereit. Diese muss eingespielt werden. Hierzu muss die laufende Applikation (ELEKTROMANAGER oder fundamed) beendet werden.

geöffnetes rotes Schloss
Jetzt anfragen
02630 95671-30