公開日:2020/09/09 最終更新日:2020/09/10

JVNVU#90770748
Wibu-Systems AG 製 CodeMeter に複数の脆弱性

概要

Wibu-Systems AG 社 が提供する CodeMeter には、複数の脆弱性が存在します。

影響を受けるシステム

  • CodeMeter Runtime すべてのバージョン

詳細情報

CodeMeter は、Wibu-Systems AG 社が提供する産業用セキュリティ対策ソフトウェアです。CodeMeter には次の複数の脆弱性が存在します。
  • 不適切な値長の指定によるバッファアクセス (CWE-805) - CVE-2020-14509
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
  • 不適切な暗号強度 (CWE-326) - CVE-2020-14517
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H 基本値: 9.4
  • 同一生成元ポリシー違反 (CWE-346) - CVE-2020-14519
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H 基本値: 8.1
  • 不適切な入力確認 (CWE-20) - CVE-2020-14513
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • デジタル署名の不適切な検証 (CWE-347) - CVE-2020-14515
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:H 基本値: 7.4
  • リソースの不適切なシャットダウンおよびリリース (CWE-404) - CVE-2020-16233
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、細工したパケットを送信され、任意のコード実行やソフトウェアを停止される - CVE-2020-14509
  • 遠隔の第三者によってプロトコルの暗号化を解除され、任意の CodeMeter API を実行される - CVE-2020-14517
  • 遠隔の第三者によって、細工した JavaScript を用いて内部 WebSockets API を使用され、ライセンス情報の窃取や改ざん等が行われる - CVE-2020-14519
  • 遠隔の第三者によって、細工したライセンスファイルを処理させられ、ソフトウェアが停止される - CVE-2020-14513
  • 遠隔の第三者によって、任意の内容のライセンスファイルを作成される - CVE-2020-14515
  • 遠隔の第三者によって、細工したパケットを送信され、ヒープに含まれるデータを窃取される - CVE-2020-16233

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
 
ワークアラウンドを実施する
Wibu-Systems AG 社は、以下の軽減策を推奨しています。
  • CodeMeter をクライアント端末としてのみ動作させる
  • 内部の WebSockets API の代わりに、新規の REST API を利用する
  • CodeMeter ライセンスアクセス許可機能を使用して、CodeMeter API の使用を制限する
  • WebSockets API を無効化する
  • AxProtector を適用する

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
TDK 株式会社 脆弱性情報提供済み 2020/09/09
アズビル株式会社 脆弱性情報提供済み 2020/09/09
オムロン株式会社 脆弱性情報提供済み 2020/09/10
ジェイティ エンジニアリング株式会社 該当製品無し 2020/09/09
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2020/09/09
株式会社JVCケンウッド 脆弱性情報提供済み 2020/09/09
株式会社インターネットイニシアティブ 該当製品無し 2020/09/09

参考情報

  1. ICS Advisory (ICSA-20-203-01)
    Wibu-Systems CodeMeter
  2. JPCERT/CC JVNVU#94568336
    Siemens 製品に複数の脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-14513
CVE-2020-14515
CVE-2020-14517
CVE-2020-14519
CVE-2020-16233
CVE-2020-14509
JVN iPedia

更新履歴

2020/09/10
オムロン株式会社のベンダステータスを修正しました