关键漏洞信息 1. 执行摘要 CVSS v3: 10.0 注意: 可远程利用/低攻击复杂性 供应商: Wibu-Systems AG 设备: CodeMeter 漏洞: - 缓冲区访问与不正确的长度值 CWE-805 - 加密强度不足 CWE-326 - 起源验证错误 CWE-346 - 输入验证不当 CWE-20 - 加密签名验证不当 CWE-347 - 资源不当关闭或释放 CWE-404 2. 更新信息 此更新建议是2021年2月11日发布的ICS网页上ICS 咨询 ICSA-20-203-01 Wibu-Systems CodeMeter (Update E) 的后续更新。 3. 风险评估 成功利用这些漏洞可能导致攻击者修改和伪造许可文件、导致服务中断、获取远程代码执行、读取堆数据以及阻止依赖于CodeMeter的第三方软件的正常运行。 4. 技术细节 4.1 受影响的产品 所有7.10a之前的版本受到CVE-2020-14509和CVE-2020-14519的影响。 所有7.10a之前的版本受到CVE-2020-14517的影响。 所有7.10之前的版本受到CVE-2020-16233的影响。 所有6.81之前的版本受到CVE-2020-14518的影响。 所有6.90之前的版本当使用CmActLicense更新文件与CmActLicense公司代码时受到CVE-2020-14515的影响。 4.2 漏洞概述 4.2.1 缓冲区访问带有错误长度值 CWE-805 4.2.2 加密强度不足 CWE-326 4.2.3 起源验证错误 CWE-346 4.2.4 输入验证不当 CWE-20 4.2.5 加密签名验证不当 CWE-347 4.2.6 资源释放或释放异常 CWE-404 5. 缓解措施 更新到CodeMeter Runtime的最新版本。 仅作为客户端运行CodeMeter。 使用新的REST API代替内部的WebSocket API。 禁用WebSocket API。 使用AxProtector。 其他 供应商应在产品中应用防御措施以降低漏洞被利用的风险。