Tutti gli avvisi / BE-2022-0020

BE-2022-0020

BE-2022-0020: DGN File Parsing Out-of-bounds Read and Stack Overflow Vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley: BE-2022-0020
ID CVE: CVE-2022-40201, CVE-2022-41613
Gravità: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 20-10-2022
Data di revisione: 20-10-2022

Riepilogo
Le applicazioni basate su MicroStation e MicroStation possono essere interessate da vulnerabilità di lettura fuori dai limiti consentiti e stack overflow all'apertura di file DGN creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare alla divulgazione di informazioni o all'esecuzione di codice arbitrario.

Dettagli
L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file DGN contenente dati creati in modo dannoso può forzare una lettura fuori dai limiti consentiti e l'esecuzione di codice arbitrario Lo sfruttamento di queste vulnerabilità nell'ambito dell'analisi dei file DGN potrebbe consentire a un attaccante di leggere informazioni o eseguire codice nel contesto del processo corrente.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation 10.17.0.209 and prior versions 10.17.1.* and more recent
Bentley View 10.17.0.209 and prior versions 10.17.1.* and more recent

 

Mitigazioni consigliate
Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file DGN provenienti da fonti affidabili.

Riconoscimento
Si ringraziano Michael Heinzl e l'Industrial Control Systems Vulnerability Management and Coordination (ICS-VMC), la Cybersecurity and Infrastructure Security Agency (CISA) e il US Department of Homeland Security (DHS) per aver scoperto queste vulnerabilità.

Revision History

Date Descrizione
20-10-2022 Prima versione dell'avviso
28-10-2022 Adding acknowledgment