Dringende Sicherheitsinformation zur baramundi Management Suite [S-2020-02]

Aktuell gibt es in einer Softwarekomponente, die auch in der baramundi Management Suite (bMS) Anwendung findet, 6 Sicherheitslücken. baramundi hat die mit diesen Lücken verbundene Gefährdung der baramundi Management Suite insgesamt als kritisch eingestuft.

Weitere Informationen zum Sicherheitsupdate

Update: S-2020-02

Die Sicherheitslücken betreffen die Komponente „Wibu Codemeter Runtime“. Die Versionen der baramundi Management Suite ab 2018 R1 sind betroffen.

In der Software-Komponente "Wibu Codemeter Runtime", die auch in der baramundi Management Suite (bMS) Anwendung findet, wurden 2 kritische und 4 hohe Sicherheitslücken gefunden.

Durch diese Sicherheitslücken ist es u.a. möglich, dass Schadcode eingeschleust und auf den Serversystemen ausgeführt werden kann. Sie eröffnen die Möglichkeit Lizenzdateien zu modifizieren und es besteht die Gefahr, dass sensible Daten mitgelesen und manipuliert werden.

Schweregrad

  • Kritisch, CVE-2020-14509, CVSS Rating: 10,0
  • Hoch, CVE-2020-14513, CVSS Rating: 7,5
  • Hoch, CVE-2020-14515, CVSS Rating: 7,4
  • Kritisch, CVE-2020-14517, CVSS Rating: 9,4
  • Hoch, CVE-2020-14519, CVSS Rating: 8,1
  • Hoch, CVE-2020-16233, CVSS Rating: 7,5

Betroffene Produkte

Die Versionen der baramundi Management Suite ab 2018 R1 sind betroffen.

Wichtiger Hinweis

Das Security-Update behebt die Sicherheitslücken für die bMS-Versionen 2019 R12019 R2 und 2020 R1.
Kunden mit älteren bMS-Versionen empfehlen wir dringend auf die aktuellste Version zu wechseln und anschließend das Security Update auszuführen.

Anmerkungen

Die Versionsnummer der CodeMeter Runtime Komponenten lautet für alle gepatchten bMS Versionen:

  • Pfad: C:\Program Files (x86)\CodeMeter\Runtime\bin\
  • Datei Version: 7.10.4196.501
  • Produkt Version: 7.10a

Wibu hat in der Version 7.10a eine neue WebSocket API eingeführt, die per Konfiguration nicht deaktivierbar ist. Die bMS benötigt diese API für eine korrekte Funktionsweise nicht.
Deshalb wird empfohlen eine Firewall-Regel für eingehende Nachrichten für die CodeMeter.exe (Pfad: C:\Program Files (x86)\CodeMeter\Runtime\bin\) zu erstellen, die alle eingehenden Nachrichten aus privatem oder öffentlichem Netzwerk sowie Domänen, blockiert. Diese Regel muss nach dem Ausführen des Tools erstellt werden.

Weitere Informationen und die Anleitung zum Schließen der Sicherheitslücke finden Sie hier.

baramundi empfiehlt Ihnen dringend die Lücke zu schließen!

Alle unsere Datacenter Services ebenso wie unsere Cloud Lösungen stellen wir in einem unserer BSI-zertifizierten Rechenzentren in Deutschland zur Verfügung. Der hohe Ausbildungsstand unserer Mitarbeiter steht für Zuverlässigkeit und Qualität. Selbstverständlich erbringen wir alle Leistungen unter Einhaltung der DSGVO und auf Basis des BSI Grundschutzes. - COMBACK Zertifizierungen

Alle unsere Lösungen haben wir mit Bedacht für die Erbringung unserer Services ausgewählt. Bei der Auswahl der eingesetzten Applikationen legen wir grössten Wert auf Qualität und Sicherheit.

Fast jede unserer Lösungen ist als Service und als Kaufoption erhältlich. Viele sind auch als Appliances verfügbar. Gerne lassen wir Ihnen weitere Informationen zukommen oder bieten Ihnen die gewünschten Lösungen in einem bedarfsgerechten Angebot an. Kommen Sie über unser Kontaktformular auf uns zu.

Nutzen Sie einfach unser Kontaktformular für Ihre Anfragen. Sie bevorzugen ein Gespräch am Telefon? Rufen Sie uns an. Sie erreichen uns Montag bis Freitag von 08:00 Uhr - 17:00 Uhr unter unseren zentralen Nummer: +49 7051 - 923 111