更新日時:2020年9月17日
コードメータ ランタイムの脆弱性について
2020年9月8日に、米国非営利団体マイター(MITRE Corporation)により、コードメータ ランタイムに6つの脆弱性が存在することが報告されました。
すでに、すべての脆弱性は、コードメータランタイムVer7.10aで解決済です。
確実なセキュリティ確保のために、コードメータランタイムVer7.10a以降を使用することを推奨致します。
なお、Ver7.10a以前のバージョンで暗号化処理(APIも含む)されたプログラムでも、コードメータランタイムをVer7.10aを使用することで脆弱性は解消されます。
1. CVE-2020-14509: CodeMeter Runtime DoS due to Buffer Access with Incorrect Length Value
- CodeMeterライセンスサーバーのTCP/IP通信における脆弱性
- 意図的なパケットを送ることでCodeMeter.exeがクラッシュする
- この脆弱性はコードメータランタイムVer7.10aで解決済み
2. CVE-2020-14513: Improper Input Validation of Update Files in CodeMeter Runtime
- CmActLicense Firm Code (5xxxxxx)のライセンス更新ファイルにおける脆弱性
- Firm Code 5番台(5xxxxxx)のCmActLicenseでのみ影響する。
- 意図的なライセンス更新ファイルを送ることでCodeMeter License Serverをブロックする
- Firm Code 1番台(1xxxxx)のCmDongleおよびFirm Code 6番台(6xxxxxx)のCmDongle/CmActLicenseには影響しない。
- この脆弱性はコードメータランタイムVer6.81以降で解決済み
3. CVE-2020-14515: Improper Signature Verification of Update Files in CodeMeter Runtime
- CmActLicense Firm Code (5xxxxxx)のライセンス更新ファイルにおける脆弱性
- Firm Code 5番台(5xxxxxx)のCmActLicenseでのみ影響する。
- ライセンス更新ファイルを意図的に修正できるリスクが存在する
- Firm Code 1番台(1xxxxx)のCmDongleおよびFirm Code 6番台(6xxxxxx)のCmDongle/CmActLicenseには影響しない。
- この脆弱性はコードメータランタイムVer6.90以降で解決済み
4. CVE-2020-14517: CodeMeter Runtime API: Inadequate Encryption Strength and Authentication
- CodeMeter APIにおける脆弱性
- CodeMeter ランタイムがサーバーとして起動している場合、CodeMeter APIがリモートで実行されるリスクが存在する
- ただし、前提として、ネットワークに侵入する必要があるため、ネットワークに侵入されない限りリスクはない。
- この脆弱性はコードメータランタイムVer7.10aで解決済み
5. CVE-2020-14519: CodeMeter Runtime WebSocket API: Missing Origin Validation
- CodeMeter Runtime WebSockets APIにおける脆弱性
- Firm Code 5番台(5xxxxxx)のCmActLicenseでのみ影響する。
- ライセンス更新ファイルを意図的に修正できるリスクが存在する
- ただし、CodeMeter License Central WebDepotを使用しない環境ではリスクはない。
- さらに、Firm Code 1番台(1xxxxx)のCmDongleおよびFirm Code 6番台(6xxxxxx)のCmDongle/CmActLicenseには影響しない。
- この脆弱性はコードメータランタイムVer7.10aで解決済み
6. CVE-2020-16233: CodeMeter Runtime API: Heap Leak
- CodeMeter APIのヒープ領域における脆弱性
- 意図的なTCP/IPパケット(CodeMeter API command)によって、ヒープ領域からデータを取得するリスクが存在する。
- この脆弱性はコードメータランタイムVer7.10以降で解決済み