Wszystkie poradniki / BE-2022-0019

BE-2022-0019

BE-2022-0019: Luki w zabezpieczeniach dotyczące parsowania plików FBX poza zakresem odczytu i przepełnienia stosu w MicroStation i aplikacjach opartych na MicroStation

Identyfikator Bentley: BE-2022-0019
Identyfikator CVE: CVE-2022-42900
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data publikacji: 12-10-2022
Data zmiany: 10-12-2022

Podsumowanie
MicroStation i aplikacje oparte na MicroStation mogą być dotknięte luką w zabezpieczeniach dotyczącą odczytu poza zakresem podczas otwierania złośliwie spreparowanych plików FBX. Wykorzystanie tych luk może doprowadzić do ujawnienia informacji i wykonania kodu.

Szczegóły
Użycie zainfekowanej wersji systemu MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku FBX zawierającego złośliwie spreparowane dane może wymusić odczyt poza zakresem lub wymusić wykonanie dowolnego kodu. Wykorzystanie tych luk podczas parsowania plików FBX może umożliwić osobie atakującej odczytanie informacji lub wykonanie kodu w kontekście bieżącego procesu.

Wersje, których dotyczy problem

Aplikacje Wersje, których dotyczy problem Wersje zabezpieczone
MicroStation 10.17.0.* i wcześniejsze wersje 10.17.01.58* i nowsze
Bentley View 10.17.0.* i wcześniejsze wersje 10.17.01.19 i nowsze

 

Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików FBX pochodzących wyłącznie z zaufanych źródeł.

Podziękowania
Podziękowania dla Michaela DePlante (@izobashi) z Trend Micro's Zero Day Initiative

Historia zmian

Data Opis
12-10-2022 Pierwsza wersja poradnika
13-10-2022 Dodanie numeru CVE

20% rabatu na oprogramowanie Bentley

Oferta kończy się w piątek

Użyj kodu „THANKS24“

Świętuj z nami wybitne osiągnięcia w dziedzinie realizacji i wydajności infrastruktury

Konferencja Year in Infrastructure i konkurs Going Digital Awards 2024

Zgłoś projekt do najbardziej prestiżowego konkursu w dziedzinie infrastruktury! Przedłużony termin nadsyłania zgłoszeń upływa 29 kwietnia.