FAQ – Security Advisory 200521
常见问题解答最近更新时间:2020-10-09。
常见问题解答(Q&A)
Q:漏洞的严重程度如何?
A:为了利用这些漏洞,攻击者必须具有对本地系统或对相同网络上系统的访问权限。攻击者必须已经侵入网络或获得了访问权限。如果他们已经获得成功,则可利用相关漏洞。
但是,其中漏洞CVE-2020-14519仅通过调用相应网页即可被利用。
Q:是否必须在所有系统上安装更新版本?
A:所有平台(Windows、macOS、Linux)上的CodeMeter驱动都会受到影响。
Q:我的系统在受保护的环境中运行,我仍然需要安装更新吗?
A:如果您可以确保攻击者无法访问您的网络,并且仅处理来自受信任源的更新文件,这些漏洞无法被利用,则无需进行更新。如果您的计算机可访问互联网,出于安全原因,应停用对WebSocket API的访问(请参见下文)。
Q:7.10a版本何时可用?
A:CodeMeter 7.10a版本已经可以从www.wibu.com/support/user下载。
WebSocket API
Q:WebSocket API的用途是什么及使用者?
A:WebSocket API允许您从Web浏览器查询现有容器的信息,创建请求文件并导入更新文件。通常仅由CodeMeter许可中心WebDepot使用。使用CodeMeter许可中心网关和CodeMeter许可中心WebDepot中基于文件激活的软件激活向导均不使用WebSocket API。
Q:如果由于不兼容而禁用或无法加载WebSocket API,CodeMeter许可中心WebDepot会怎么样?
A:如果WebDepot无法成功与WebSocket API通信,它将自动切换到基于文件的激活。在这种情况下,用户必须创建请求文件并自己使用下载的更新文件。但是原则上,基于文件的激活也可以执行所有操作。
Q:CodeMeter版本7.10a中新的WebSocket API有哪些新功能?
A:新版本的WebSocket API要求使用威步系统发行的证书,用于与CodeMeter许可中心服务器交换信息和数据的网站。默认情况下,先前版本的WebSocket API被禁用。
这意味着CodeMeter驱动版本7.10a只能通过适当更新的WebDepot进行直接激活。
Q:如何为CodeMeter版本7.10a重新激活旧的WebSocket API?
A:通过将分析入口“ CmWebSocketAllowWithoutOriginCheck”设置为值“ 1”并重新启动CodeMeter许可服务器,重新激活旧的WebSocket API无需进行来源检查。即使使用旧的CodeMeter许可中心WebDepot,也可以进行直接激活。不建议激活旧的WebSocket API。请更新CodeMeter许可中心WebDepot。
Q:如何关闭旧的WebSocket API,这会产生什么影响?
A:通过将分析入口“ CmWebSocketApi”设置为值“ 0”并重新启动CodeMeter许可服务器,可以停用旧的WebSocket API。停用WebSocket API操作只适用于在没有来源验证的旧WebSocket API版本。安装版本7.10a后,具有来源验证的新WebSocket API可以使用并启用。如果使用的是6.90之前版本的CodeMeter且无法更新,则特别建议停用。禁用WebSocket API意味着在CodeMeter驱动更新到版本7.10a或更高版本之前,无法再使用CodeMeter许可中心WebDepot中的直接激活功能。使用CodeMeter许可中心网关和WebDepot中基于文件激活的软件激活向导仍将起作用。
问:如果我现在停用7.10a之前旧CodeMeter版本的WebSocket API,是否可以通过更新到新版本来重新激活它?
A:是的,只是对旧的WebSockt API停用是永久的,且无需进行来源验证。更新到CodeMeter版本7.10a或更高版本后,带有来源验证的新版本WebSocket API将立即可用。
使用CodeMeter许可的软件供应商的其他常见问题解答(Q&A)
Q:为什么要通知用户?
A:较大的公司和机构客户通常会积极检查新版本的漏洞。因此,您的用户有可能会注意到。通过主动通知他们,表明您意识到自己对用户系统安全的责任。
Q:我是否必须重新加密受保护的软件?
A:不需要,这些安全漏洞仅影响通过CodeMeter驱动安装在系统上的组件。但是,如果您将CodeMeter驱动集成到安装程序中,则必须替换它。
Q:我是否必须更新CmDongle硬件加密狗的固件?
A:不需要,这些安全漏洞仅影响通过CodeMeter驱动安装在系统上的组件。CodeMeter硬件中的任何功能均不受影响,因此无需更新固件。
Q:这会影响CodeMeter许可中心吗?
A:是的。CodeMeter许可中心使用CodeMeter库,因此可能会受到漏洞的影响。3.00版本的许可中心已通过测试和验证,可以与新版本的CodeMeter v7.10a(尤其是3.00、3.21a,3.30a,b,c)一起使用。如果威步系统托管了CodeMeter许可中心,则它们将自动执行更新,您无需执行任何操作。如果不是,则建议您手动将CodeMeter的版本更新为7.10a。有关如何执行此操作的说明,可以在开发者下载区https://www.wibu.com/support/developer/downloads-developer-software.html的“ CodeMeter许可中心更新”区中的“Update 3.x | CodeMeter 7.10a”找到。
Q:我没有在应用程序使用CodeMeter驱动,而是使用CodeMeter嵌入式。我是否需要打补丁或修改来自CodeMeter嵌入式的代码?
A:不需要,这些安全漏洞仅影响CodeMeter驱动的组件。报告中的漏洞无法应用于CodeMeter嵌入式。
Q:这些漏洞是否与许可和软件保护有关?
A:对于公司码(公司码5.xxx.xxx)的软锁,许可有可能会被操控(CVE-2020-14515)。具体来说,现有有效许可能通过操控更新文件使之无效,或者无效许可能通过操控更新文件使之再次变得有效,攻击者还可以创建新的(尽管无效)许可。要执行攻击,攻击者必须拥有尚未安装的有效更新文件。如果许可也绑定到计算机,则攻击者只能攻击拥有更新文件的许可。
其他安全漏洞涉及对内存的访问和操作系统上命令的执行,并不直接影响授权或保护。
WebSocket API
Q:何时将提供带有新来源验证且支持WebSocket API的CodeMeter许可中心WebDepot版本?
A:补丁程序已供下载,该补丁程序使所有CodeMeter许可中心WebDepot版本(从14.01.111.500开始)都可以与新旧版本WebSocket API通信。软件开发商可登陆开发者下载区域 “CodeMeter License Central Internet Extensions”中进行下载。
Q:新的CodeMeter许可中心WebDepot是否同时支持新旧版本WebSocket API?
A:是的,CodeMeter许可中心WebDepot在安装补丁后默认支持两种版本。这将使具有旧版本未更新CodeMeter驱动环境的用户和具有当前CodeMeter驱动环境的用户都可以进行直接激活。