Alle Hinweise / BE-2021-0004

BE-2021-0004

BE-2021-0004: Out-of-bounds and use-after-free vulnerabilities in MicroStation and MicroStation-based applications

Bentley-ID: BE-2021-0004
CVE-ID: CVE-2021-34874, CVE-2021-34875, CVE-2021-34880, CVE-2021-34889, CVE-2021-34894, CVE-2021-34895, CVE-2021-34901, CVE-2021-34911, CVE-2021-46575, CVE-2021-46586, CVE-2021-46587, CVE-2021-46592, CVE-2021-46595, CVE-2021-46602, CVE-2021-46607, CVE-2021-46623
Schweregrad: 7,8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 07.12.2021
Überarbeitungsdatum: 07.12.2021

Zusammenfassung
Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen von in böser Absicht erstellten 3DS-Dateien können Schwachstellen durch Lesen außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ auslösen. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.

Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-14736, ZDI-CAN-14827, ZDI-CAN-14833, ZDI-CAN-14842, ZDI-CAN-14847, ZDI-CAN-14862, ZDI-CAN-14874, ZDI-CAN-14884, ZDI-CAN-15369, ZDI-CAN-15380, ZDI-CAN-15381, ZDI-CAN-15386, ZDI-CAN-15389, ZDI-CAN-15396, ZDI-CAN-15401, ZDI-CAN-15453. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer 3DS-Datei, die in böser Absicht erstellte Daten enthält, kann eine Schwachstelle außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ auslösen. Die Ausnutzung dieser Schwachstellen beim Parsen von 3DS-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation Versions prior to 10.16.02.* 10.16.02.* and more recent
Bentley View Versions prior to 10.16.02.* 10.16.02.* and more recent

 

Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur 3DS-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.

Danksagung
Vielen Dank an Francis Provencher {PRL} für die Entdeckung von ZDI-CAN-14736. Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung der restlichen Schwachstellen im Zusammenhang mit diesem Hinweis.

Revision History

Date Beschreibung
07.12.2021 Erste Version dieses Hinweises
04.02.2022 Added new CVE numbers provided by ZDI
Benötigen Sie Hilfe?
Zugänglichkeitsoptionen
Zum Seitenanfang
Schwarzes Logo von Bentley Systems
Entdecken

Software
Lizenzierung und Abonnements
Mein Konto/Profil erstellen
Software kaufen
Ressourcen

Mit uns bauen
Studierende & Lehrkräfte
Entwickler
Produktforschung
Rechtliche Hinweise

Rechtliche Übersicht
Trust Center

Unternehmen

Profil
Karriere
Kontaktieren Sie uns
Investoren
Events
Year in Infrastructure
ESG
COP

Geschichten und Neuigkeiten

Neuigkeiten
Blog
Infrastructure Yearbook
Digital Currency Newsletter

Support

Support-Center
Schulungen
Dienstleistungen
Bentley Communities

Investitionen
Bentley iTwin Ventures-Fonds
Unternehmen und Partner
Vertriebs- und Schulungspartner
Seequent, The Bentley Subsurface Company
Cohesive
Cesium

Datenschutzerklärung | Nutzungsbedingungen | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley Systems, Incorporated.

20 % Rabatt auf Bentley-Software

Angebot endet am Freitag

Verwenden Sie den Gutscheincode „THANKS24“

Software kaufen

Feiern Sie mit uns die Umsetzung von Infrastruktur und herausragende Leistungen

Year in Infrastructure und Going Digital Awards 2024

Reichen Sie ein Projekt ein für die renommiertesten Auszeichnungen im Infrastrukturbereich! Die verlängerte Einreichungsfrist endet am 29. April.

Projekt einreichen