製品に関するお知らせ

当社製品をご愛用のお客様へ

平素より当社製品について格別のご愛顧を賜り、厚く御礼申し上げます。
当社の一部ソフトウェアが利用しているサードパーティ製のソフトウェアコンポーネントに脆弱性が発見されました。インターネットに接続している状態で対象のソフトウェアを利用されている場合、脆弱性のリスクがございます。対象となるソフトウェアは以下の通りです。ご迷惑をおかけいたしますが、脆弱性リスク解消のため、Service Updateの適用を強く推奨いたします。

＜対象となるソフトウェア、製品＞

• cellSens
  Entry, Standard, Dimension, Dimension Desktop, APEX Version 3.2以降 (launched 2021)
• VS120
  VS-ASW, VS-Desktop, DB Admin, NIS / SQL Version 2.9.2以降 (launched 2019)
• VS200
  VS200-ASW, VS200-Desktop, DB Admin, NIS / SQL Version 3.1以降 (launched 2019)
• OLYMPUS Stream
  Current: Stream Enterprise, Stream Enterprise Desktop, SFR
  Legacy: Stream Start, Stream Basic, Stream Essentials, Stream Motion, Stream Desktop)
  Version 2.4以降 (launched 2019)
• CIX
  CIX-ASW, CIX-SZX Version 1.4以降 (launched 2019)
• PRECiV
  Capture, Core, Pro, Desktop, DSX Version 1.1以降 (launched 2022)
• DP2-AOU Version 1.1以降 (launched 2020)

＜該当する脆弱性＞

当社調査の結果、当社製品に該当する脆弱性は以下の通りです。

CVE-2023-3935：CodeMeter ランタイムのバッファ オーバーフロー
CVE-2023-38545：SOCKS5プロキシハンドシェイクにおけるヒープベースのバッファでのカールオーバーフロー

脆弱性についての詳細は以下をご覧ください。

Product Security Advisory WIBU-230704-01-v3.0（英語）
https://cdn.wibu.com/fileadmin/wibu_downloads/security_advisories/AdvisoryWIBU-230704-01-v3.0.pdf

Product Security Advisory WIBU-231017-01（英語）
https://cdn.wibu.com/fileadmin/wibu_downloads/security_advisories/AdvisoryWIBU-231017-01.pdf

NIST^(※1) NVD^(※2)（英語）
https://nvd.nist.gov/vuln/detail/CVE-2023-3935
https://nvd.nist.gov/vuln/detail/CVE-2023-38545

(※1) NIST：National Institute of Standards and Technology　米国国立標準技術研究所
(※2) NVD：National Vulnerability Database　米国脆弱性データベース

＜想定される影響＞

以下の脆弱性の影響が想定されます。

CVE-2023-3935：
システムが設置している施設内でログイン認証した攻撃者が管理者権限を取得する事でデータを搾取、改ざんされる可能性があります。
また、お客様の環境でライセンスサーバーを導入されている場合、攻撃者がライセンスサーバーに不正ログインしてプログラムを実行する事でデータを搾取、改ざんされる可能性があります。

CVE-2023-38545：
当該ソフトウェアはSOCKS5 プロキシ経由でトラフィックをリダイレクトするようにcurlが設定されている場合、バッファ オーバーフロー攻撃に対して脆弱なバージョンの libcurl を内部的に使用しております。そのため、悪意のあるプロキシを経由して通信した場合、実装されたハンドシェイクのバグを悪用してバッファ オーバーフローを引き起こす可能性があります。

これらの脆弱性はService Updateを適用する事によりリスクが解消されます。

＜対処方法＞

Service Update（CodeMeter Version 7.60d）を適用します。
自動アップデート機能を有効にしている場合は、Service Updateを適用する旨、通知がなされます。

（DP2-AOUご利用のお客様へ）
事前に取扱説明書の「専用デバイスドライバーのインストール」をご参照の上、Service Updateを適用できる準備を行ってください。また、DP2-AVS(アンチウイルスソフトライセンス)を有効にしている場合は、取扱説明書の「インストール / アップデートプログラム起動の準備」も併せてご参照ください。

＜Service Updateの対象OS＞

• Windows 10 (32-bit / 64-bit)
• Windows 8 / 8.1 (32-bit / 64-bit)
• Windows 11 (64-bit)
• Windows Server 2012 (64-bit)
• Windows Server 2016 (64-bit)
• Windows Server 2019 (64-bit)
• Windows Server 2022 (64-bit)

対処手順

1. Windowsを起動します。

2. 管理者権限（administrator）でログオンします。

3. 下記ダウンロードサイトからアップデートファイル（CodeMeter_7_60d.exe）をダウンロードします。
https://serviceupdates.olympus-sis.com/DownloadArea

4. すべてのアプリケーションが終了している事をご確認ください。

5. Service Updateファイルをダブルクリックします。

6. ユーザーアカウント制御ダイアログボックスが表示された場合「はい」をクリックします。

7. CodeMeter 7.60d のインストール確認画面に対して「はい」をクリックします。

8. Windowsコンソールウィンドウが表示されますので、「Y」を入力してEnterキーを入力します。キーを入力するとセットアップが続行されます。

9. セットアップが完了すると「press any key to close the console window」のメッセージが表示されます。任意のキーを押下するとコンソールウィンドウが閉じます。

10. Service Updateが適用されている事を確認します。タスクバーのCodeMeterツールから右クリックし「CodeMeterControlCenterについて」をクリックして、Version 7.60dになっていることを確認します。

（DP2-AOUご利用のお客様）
Windowsメニューから「CodeMeter Control Center」を起動し、メニューから「CodeMeter Control Centerについて」を選択してVersion 7.60dになっていることを確認します。

cellSens又はStreamをご利用のお客様でアップデート通知を有効にしている場合は以下もご対応下さい。

アップデート通知を有効に設定し、かつインターネットに接続された状態でソフトウェアを起動すると以下のようなアップデート通知ダイアログが表示されます。

アップデート通知ダイアログでリマインダーの表示の「今後リマインダーを表示せず、上記リストのアップデートを無視する」を選択し、「OK」ボタンを押します。

なお、アップデートを実施する前に通知ダイアログが表示された場合、手順10にしたがってCodeMeterのVersionが7.60dであるかをご確認ください。

① CodeMeterのVersionが7.60dである場合：
リマインダーの表示で「今後リマインダーを表示せず、上記リストのアップデートを無視する」を選択し、「OK」ボタンを押します。

② CodeMeterのVersionが7.60dでない場合：
上記のインストール手順にてサービスアップデートの適用を実施してください。

Back to Product Information