BE-2022-0017: Luki w zabezpieczeniach dotyczące parsowania plików SKP poza zakresem odczytu oraz przepełnienia stosu w MicroStation i w aplikacjach opartych na MicroStation
Identyfikator Bentley: BE-2022-0017
Identyfikator CVE: CVE-2022-42899
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data publikacji: 12-10-2022
Data zmiany: 10-12-2022
Podsumowanie
Podczas otwierania złośliwie spreparowanych plików SKP mogą występować luki w zabezpieczeniach systemu MicroStation i aplikacji opartych na MicroStation związane z odczytem poza zakresem i przepełnieniem stosu. Wykorzystanie tych luk może doprowadzić do ujawnienia informacji i wykonania kodu.
Szczegóły
Użycie zagrożonej wersji MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku SKP zawierającego złośliwie spreparowane dane może spowodować odczyt poza zakresem lub przepełnienie stosu. Wykorzystanie tych luk w parsowaniu plików SKP mogło umożliwić osobie atakującej odczytanie informacji w kontekście bieżącego procesu lub wykonanie dowolnego kodu.
Wersje, których dotyczy problem
| Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
| MicroStation | 10.17.0.* i wcześniejsze wersje | 10.17.01.58* i nowsze |
| Bentley View | 10.17.0.* i wcześniejsze wersje | 10.17.01.19 i nowsze |
Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików SKP pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Podziękowania dla xina1i za wykrycie tych luk.
Historia zmian
| Data | Opis |
| 12-10-2022 | Pierwsza wersja poradnika |
| 13-10-2022 | Dodanie numeru CVE |
