Wszystkie poradniki / BE-2022-0020

BE-2022-0020

BE-2022-0020: Luki w zabezpieczeniach dotyczące parsowania plików DGN poza zakresem odczytu i przepełnienia stosu w MicroStation i aplikacjach opartych na MicroStation

Identyfikator Bentley: BE-2022-0020
Identyfikator CVE: CVE-2022-40201, CVE-2022-41613
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data publikacji: 20-10-2022
Data zmiany: 20-10-2022

Podsumowanie
Podczas otwierania złośliwie spreparowanych plików DGN mogą występować luki w zabezpieczeniach MicroStation i aplikacjach opartych na MicroStation związane z odczytem poza zakresem i przepełnieniem stosu. Wykorzystanie tych luk może doprowadzić do ujawnienia informacji lub wykonania dowolnego kodu.

Szczegóły
Użycie zagrożonej wersji systemu MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku DGN zawierającego złośliwie spreparowane dane może wymusić odczyt poza zakresem lub wymusić wykonanie dowolnego kodu. Wykorzystanie tych luk podczas parsowania plików DGN może umożliwić osobie atakującej odczytanie informacji lub wykonanie kodu w kontekście bieżącego procesu.

Wersje, których dotyczy problem

Aplikacje Wersje, których dotyczy problem Wersje zabezpieczone
MicroStation 10.17.0.209 i wcześniejsze wersje 10.17.1.* i nowsze
Bentley View 10.17.0.209 i wcześniejsze wersje 10.17.1.* i nowsze

 

Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików DGN pochodzących wyłącznie z zaufanych źródeł.

Podziękowania
dla Michaela Heinzla oraz Industrial Control Systems Vulnerability Management and Coordination (ICS-VMC), Cybersecurity and Infrastructure Security Agency (CISA) oraz Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) za wykrycie tych luk.

Historia zmian

Data Opis
20-10-2022 Pierwsza wersja poradnika
28-10-2022 Dodanie podziękowań