Wszystkie poradniki / BE-2021-0014

BE-2021-0014

BE-2021-0014: luka w zabezpieczeniach dotycząca użycia po zwolnieniu w MicroStation i aplikacjach opartych na MicroStation

Identyfikator Bentley: BE-2021-0014
Identyfikator CVE: CVE-2021-34872
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data publikacji: 07-12-2021
Data zmiany: 12-07-2021

Podsumowanie
Na MicroStation i aplikacje oparte na MicroStation może wpływać luka w zabezpieczeniach dotycząca użycia po zwolnieniu podczas otwierania złośliwie spreparowanych plików SKP. Wykorzystanie tej luki może doprowadzić do wykonania kodu.

Szczegóły
Grupa TrendMicro ZDI wykryła następujące luki w zabezpieczeniach związane z tym poradnikiem: ZDI-CAN-14737. Użycie zainfekowanej wersji MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku SKP zawierającego złośliwie spreparowane dane może spowodować wykorzystanie luki dotyczącej użycia po zwolnieniu. Wykorzystanie tych luk podczas analizowania plików SKP może umożliwić atakującemu uruchomienie dowolnego kodu w kontekście bieżącego procesu.

Wersje, których dotyczy problem

Aplikacje Wersje, których dotyczy problem Wersje zabezpieczone
MicroStation Wersje wcześniejsze niż 10.16.02.* 10.16.02.* i nowsze
Bentley View Wersje wcześniejsze niż 10.16.02.* 10.16.02.* i nowsze

 

Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików SKP pochodzących wyłącznie z zaufanych źródeł.

Podziękowania
Podziękowania dla Francisa Provenchera {PRL} za wykrycie tej luki.

Historia zmian

Data Opis
07-12-2021 Pierwsza wersja poradnika

20% rabatu na oprogramowanie Bentley

Oferta kończy się w piątek

Użyj kodu „THANKS24“

Świętuj z nami wybitne osiągnięcia w dziedzinie realizacji i wydajności infrastruktury

Konferencja Year in Infrastructure i konkurs Going Digital Awards 2024

Zgłoś projekt do najbardziej prestiżowego konkursu w dziedzinie infrastruktury! Przedłużony termin nadsyłania zgłoszeń upływa 29 kwietnia.