Sicherheitslücke in der CodeMeter Runtime CVE-2020-14519
Hintergrund:
Die Firma Wibu hat uns am 16.09.2020 informiert, dass es ein Sicherheitsproblem mit der CodeMeter Runtime geben kann.
Dieses Problem wurde in der CodeMeter Runtime 7.10a behoben.
Beachten Sie, dass diese Lücke nur ausgenutzt werden kann, wenn ein Hacker sich bereits Zugang zu Ihrem Netz verschafft hat (siehe auch FAQ zu den Sicherheitshinweisen von Wibu).
Betroffen sind alle Rechner auf denen die CodeMeter Runtime installiert wurde.
Anders ausgedrückt, auf allen Rechner auf denen AG-VIP SQL lokal oder als Client Installation mit SetupAGVIPClinet.exe installiert wurde sind betroffen, wenn Ihre Lizenz einen Schutz mit einem Dongle einschließt.
Beachten Sie bitte, dass nur die CodeMeter Runtime betroffen ist und nicht AG-VIP SQL oder einer unserer Dienste.
Der Download der neuesten CodeMeter Software findet sich hier auf unserer Homepage
http://download.grutzeck.de/AGVIPLaDM.exe
Alternativ können Sie sich die entsprechende Runtime auch direkt bei Wibu Systems herunterladen.
https://www.wibu.com/de/support/anwendersoftware/anwendersoftware.html
Alle neuen CodeMeter Runtime sind mit unserer Software kompatibel (auch mit älteren Versionen).
Installationshinweise:
Bei Installationen vor der Version 2.01.005 wird noch ein AGVIPLaDM.msi Paket bei einer Client-Installation verwendet. Hierfür können wir kein Update bereitstellen.
Seit der Version 2.01.005 haben wir das Setup komplett überarbeitet und umgestellt. Die AGVIPLaDM.msi entfällt. Stattdessen gibt es jetzt eine AGVIPLaDM.exe, mit der die CodeMeter Runtime installiert wird.
Diese Datei ist identisch mit dem Runtime Download von Wibu Systems.
Sollte also ein neuer Client-Rechner mit einer Software Version vor der 2.01.005 installiert werden muss anschließend auch ein Update der CodeMeter Runtime mit der neuen AGVIPLaDM.exe erfolgen.
Sollten Sie eine Version 2.01.005 oder später haben, können Sie die AGVIPLaDM.exe im Programmverzeichnis mit der neuen hier im Artikek angegebenen Version überschreiben.
Dann werden neue Client-Installationen auch mit der neuen sicheren Runtime installiert.
Hinweise zur individuellen Installation auf den Clients zum ausrollen der AGVIPLaDM.exe finden Sie im Kapitel 5.6ff des Installations-Handbuchs:
https://www.grutzeck.de/sites/default/files/bedienungsanleitung/handbuch_ag-vip_sql_installation.pdf
Die Installationsanweisungen dort gelten auch für Ihre ältere Programmversionen.
Beachten Sie bitte, dass auf allen Rechner, auf denen sich eine AG-VIP SQL-Installation befindet die neue Runtime installiert werden muss.
Das gilt auch für den Server auf denen ein WCF Dienst von uns läuft. Nicht betroffen sind Backend Dienst, oder Job-Scheduler sofern diese eigenständig installiert wurden.
Weiterführende Informationen:
Weitere Informationen bzgl. der Sicherheit der CodeMeter Software mit einer entsprechenden FAQ finden Sie hier:
https://www.wibu.com/de/support/security-advisories.html