製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Wibu-Systems 製 CodeMeter Runtime における不適切な権限管理の脆弱性

タイトル	Wibu-Systems 製 CodeMeter Runtime における不適切な権限管理の脆弱性
概要	Wibu-Systems 社が提供する CodeMeter Runtime は、ライセンスマネージャーです。CodeMeter Runtime には、不適切な権限管理の脆弱性（CWE-269、CVE-2021-41057）が存在します。
想定される影響	ローカルユーザによって、重要ファイルを上書きされたり該当製品をクラッシュさせられたりする可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 [ワークアラウンドを実施する] アップデートまでのリスクを軽減するために、以下の対策をお勧めします。製品構成によって適用できる対策が異なりますので、適宜ご確認ください。　* CodeMeter License Server サービスを実行しているマシンへの非特権ユーザによるアクセスは制限する　* CodeMeter でコンテナタイプ「Mass Storage」を無効にする。影響を受けるマシンに CmDongles が接続されていない場合、または接続されている CmDongles が HID として構成されている場合、「Mass Storage」デバイスとの CodeMeter 通信は、Windows レジストリで次のように無効にできます。　　* 「HKEY_LOCAL_MACHINE\SOFTWARE\WIBUSYSTEMS\CodeMeter\Server\CurrentVersion\EnabledContainerTypes」キーを「4294967294 (0xFFFFFFFE)」にセットする　　* 上記変更を適用後、CodeMeter を再起動する　　また、影響を受ける CodeMeter に依存する製品の詳細については、「ベンダ情報」を参照してください。
公表日	2021年12月17日0:00
登録日	2021年12月20日17:31
最終更新日	2021年12月20日17:31

CVSS3.0 : 重要
スコア	7.1
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

影響を受けるシステム

Wibu-Systems AG

CodeMeter Runtime 7.30a より前のすべてのバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-41057	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41057
National Vulnerability Database (NVD)
2	CVE-2021-41057	https://nvd.nist.gov/vuln/detail/CVE-2021-41057

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-269	https://cwe.mitre.org/data/definitions/269.html

ベンダー情報

No	名前	URL
Wibu-Systems AG
1	Security Advisory WIBU-210910-01 (PDF)	https://cdn.wibu.com/fileadmin/wibu_downloads/security_advisories/Advisory_WIBU-210910-01.pdf
2	SSA-580693: WIBU Systems CodeMeter Runtime Denial-of-Service Vulnerability in Siemens Products (pdf)	https://cert-portal.siemens.com/productcert/pdf/ssa-580693.pdf
3	User Software	https://www.wibu.com/us/support/user/downloads-user-software.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-21-350-03	https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-03
JVN
2	JVNVU#94117485	https://jvn.jp/vu/JVNVU94117485/

変更履歴

No	変更内容	変更日
1	[2021年12月20日] 掲載	2021年12月20日16:38

NVD脆弱性情報

CVE-2021-41057

概要	In WIBU CodeMeter Runtime before 7.30a, creating a crafted CmDongles symbolic link will overwrite the linked file without checking permissions.
公表日	2021年11月15日6:15
登録日	2021年11月15日10:00
最終更新日	2024年11月21日15:25

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:wibu:codemeter_runtime::::::::					7.30a
実行環境
1	cpe:2.3:o:microsoft:windows:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:siemens:simatic_pcs_neo::::::::
cpe:2.3:a:siemens:sicam_230::::::::					8.0
cpe:2.3:a:siemens:pss_odms::::::::					12.2.6.1
cpe:2.3:a:siemens:pss_e::::::::		35.0.0			35.3.2
cpe:2.3:a:siemens:pss_e::::::::		34.0.0			34.9.1
cpe:2.3:a:siemens:simit::::::::			10.0
cpe:2.3:a:siemens:simatic_wincc_oa::::::::			3.18
cpe:2.3:a:siemens:simatic_process_historian::::::::			2019
cpe:2.3:a:siemens:simatic_information_server:2019:sp1::::::
cpe:2.3:a:siemens:simatic_information_server::::::::					2019
cpe:2.3:a:siemens:simatic_information_server:2019:-::::::
cpe:2.3:a:siemens:pss_cape:14:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://cdn.wibu.com/fileadmin/wibu_downloads/security_advisories/Advisory_WIBU-210910-01.pdf		Mitigation Vendor Advisory
2	https://cdn.wibu.com/fileadmin/wibu_downloads/security_advisories/Advisory_WIBU-210910-01.pdf		Mitigation Vendor Advisory
3	https://cert-portal.siemens.com/productcert/pdf/ssa-580693.pdf		Third Party Advisory
4	https://cert-portal.siemens.com/productcert/pdf/ssa-580693.pdf		Third Party Advisory
5	https://www.wibu.com/us/support/security-advisories.html		Vendor Advisory
6	https://www.wibu.com/us/support/security-advisories.html		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-59	リンク解釈の問題	https://cwe.mitre.org/data/definitions/59.html