Wszystkie poradniki / BE-2023-0001

BE-2023-0001

BE-2023-0001: Podatność Seequent LeapFrog związana z przepełnieniem bufora na stosie dla plików WebP

Identyfikator Bentley: BE-2023-0001
Identyfikator CVE: CVE-2023-4863
Poziom ważności: 8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data publikacji: 27-10-2023
Data zmiany: 27-10-2023

Podsumowanie
Aplikacje LeapFrog mogą być podatne na przepełnienie bufora oparte na stosie podczas otwierania złośliwie spreparowanych plików WebP. Wykorzystanie tych luk może doprowadzić do ujawnienia informacji lub wykonania dowolnego kodu.

Szczegóły
Użycie zagrożonej wersji aplikacji LeapFrog do otwarcia pliku WebP zawierającego złośliwie spreparowane dane może spowodować przepełnienie bufora oparte na stosie w bibliotece libwebp. Wykorzystanie tej luki podczas analizowania plików WebP może umożliwić atakującemu wykonanie zapisu pamięci poza granicami, co może prowadzić do wykonania kodu w kontekście bieżącego procesu.

Wersje, których dotyczy problem

Aplikacje Wersje, których dotyczy problem Wersje zabezpieczone
Seequent LeapFrog 2023.1.* i wersje wcześniejsze 2023.2 i wyższe

 

Zalecane środki zaradcze
Seequent, The Bentley Subsurface Company, zaleca aktualizację do najnowszych wersji aplikacji LeapFrog. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików WebP pochodzących wyłącznie z zaufanych źródeł.

Podziękowania

Historia zmian

Data Opis
27-10-2023 Pierwsza wersja poradnika

20% rabatu na oprogramowanie Bentley

Oferta kończy się w piątek

Użyj kodu „THANKS24“

Świętuj z nami wybitne osiągnięcia w dziedzinie realizacji i wydajności infrastruktury

Konferencja Year in Infrastructure i konkurs Going Digital Awards 2024

Zgłoś projekt do najbardziej prestiżowego konkursu w dziedzinie infrastruktury! Przedłużony termin nadsyłania zgłoszeń upływa 29 kwietnia.