Tutti gli avvisi / BE-2021-0007

BE-2021-0007

BE-2021-0007: Out-of-bounds read vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley: BE-2021-0007
ID CVE: CVE-2021-34881, CVE-2021-46596
Gravità: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data di pubblicazione: 07-12-2021
Data di revisione: 07-12-2021

Riepilogo
MicroStation e le applicazioni basate su MicroStation possono essere interessate da vulnerabilità fuori dai limiti consentiti al momento dell'apertura di file OBJ creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare all'esecuzione di codice.

Dettagli
Le seguenti vulnerabilità relative a questo avviso sono state scoperte da ZDI di Trend Micro: ZDI-CAN-14834 e ZDI-CAN-15390. L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file OBJ contenente dati creati in modo dannoso può forzare una lettura fuori dai limiti consentiti. Lo sfruttamento di queste vulnerabilità nell'ambito dell'analisi dei file OBJ potrebbe consentire a un attaccante di eseguire codice nel contesto del processo corrente.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation Versions prior to 10.16.02.* 10.16.02.* and more recent
Bentley View Versions prior to 10.16.02.* 10.16.02.* and more recent

 

Mitigazioni consigliate
Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file OBJ provenienti da fonti affidabili.

Riconoscimento
Si ringrazia Mat Powell di Zero Day Initiative di Trend Micro per aver scoperto queste vulnerabilità.

Revision History

Date Descrizione
07-12-2021 Prima versione dell'avviso
04-02-2022 Adding new CVE numbers provided by ZDI

20% di sconto sui software di Bentley

L'offerta termina venerdì

Usa il codice coupon "THANKS24"

Celebra la realizzazione di infrastrutture e l’eccellenza delle prestazioni

Year in Infrastructure e Going Digital Awards 2024

Candida un progetto per i premi più prestigiosi nel settore delle infrastrutture! La scadenza prorogata per partecipare è il 29 aprile.