Dringende Sicherheitsinformation zur baramundi Management Suite [S-2020-02]

Aktuell gibt es in einer Softwarekomponente, die auch in der baramundi Management Suite (bMS) Anwendung findet, 6 Sicherheitslücken. baramundi hat die mit diesen Lücken verbundene Gefährdung der baramundi Management Suite insgesamt als kritisch eingestuft.

Weitere Informationen zum Sicherheitsupdate

Update: S-2020-02

Die Sicherheitslücken betreffen die Komponente „Wibu Codemeter Runtime“. Die Versionen der baramundi Management Suite ab 2018 R1 sind betroffen.

In der Software-Komponente "Wibu Codemeter Runtime", die auch in der baramundi Management Suite (bMS) Anwendung findet, wurden 2 kritische und 4 hohe Sicherheitslücken gefunden.

Durch diese Sicherheitslücken ist es u.a. möglich, dass Schadcode eingeschleust und auf den Serversystemen ausgeführt werden kann. Sie eröffnen die Möglichkeit Lizenzdateien zu modifizieren und es besteht die Gefahr, dass sensible Daten mitgelesen und manipuliert werden.

Schweregrad

  • Kritisch, CVE-2020-14509, CVSS Rating: 10,0
  • Hoch, CVE-2020-14513, CVSS Rating: 7,5
  • Hoch, CVE-2020-14515, CVSS Rating: 7,4
  • Kritisch, CVE-2020-14517, CVSS Rating: 9,4
  • Hoch, CVE-2020-14519, CVSS Rating: 8,1
  • Hoch, CVE-2020-16233, CVSS Rating: 7,5

Betroffene Produkte

Die Versionen der baramundi Management Suite ab 2018 R1 sind betroffen.

Wichtiger Hinweis

Das Security-Update behebt die Sicherheitslücken für die bMS-Versionen 2019 R12019 R2 und 2020 R1.
Kunden mit älteren bMS-Versionen empfehlen wir dringend auf die aktuellste Version zu wechseln und anschließend das Security Update auszuführen.

Anmerkungen

Die Versionsnummer der CodeMeter Runtime Komponenten lautet für alle gepatchten bMS Versionen:

  • Pfad: C:\Program Files (x86)\CodeMeter\Runtime\bin\
  • Datei Version: 7.10.4196.501
  • Produkt Version: 7.10a

Wibu hat in der Version 7.10a eine neue WebSocket API eingeführt, die per Konfiguration nicht deaktivierbar ist. Die bMS benötigt diese API für eine korrekte Funktionsweise nicht.
Deshalb wird empfohlen eine Firewall-Regel für eingehende Nachrichten für die CodeMeter.exe (Pfad: C:\Program Files (x86)\CodeMeter\Runtime\bin\) zu erstellen, die alle eingehenden Nachrichten aus privatem oder öffentlichem Netzwerk sowie Domänen, blockiert. Diese Regel muss nach dem Ausführen des Tools erstellt werden.

Weitere Informationen und die Anleitung zum Schließen der Sicherheitslücke finden Sie hier.

baramundi empfiehlt Ihnen dringend die Lücke zu schließen!