BE-2021-0009: Out-of-bounds vulnerabilities in MicroStation and MicroStation-based applications
Bentley-ID: BE-2021-0009
CVE-ID: CVE-2021-34897, CVE-2021-34904, CVE-2021-34905, CVE-2021-34910, CVE-2021-34914, CVE-2021-46589, CVE-2021-46635, CVE-2021-46636, CVE-2021-46637, CVE-2021-46638, CVE-2021-46639, CVE-2021-46640, CVE-2021-46641, CVE-2021-46642, CVE-2021-46643, CVE-2021-46644, CVE-2021-46646, CVE-2021-46648, CVE-2021-46649, CVE-2021-46650, CVE-2021-46651, CVE-2021-46652, CVE-2021-46654
Schweregrad: 7,8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 07.12.2021
Überarbeitungsdatum: 07.12.2021
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Öffnen von in böser Absicht erstellten DGN-Dateien von Schwachstellen außerhalb des zulässigen Bereichs betroffen sein. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.
Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-14864, ZDI-CAN-14877, ZDI-CAN-14878, ZDI-CAN-14883, ZDI-CAN-14892, ZDI-CAN-15383, ZDI-CAN-15507, ZDI-CAN-15508, ZDI-CAN-15509, ZDI-CAN-15510, ZDI-CAN-15511, ZDI-CAN-15512, ZDI-CAN-15513, ZDI-CAN-15514, ZDI-CAN-15515, ZDI-CAN-15530, ZDI-CAN-15532, ZDI-CAN-15534, ZDI-CAN-15535, ZDI-CAN-15536, ZDI-CAN-15537, ZDI-CAN-15538, ZDI-CAN-15540. Wenn Sie eine betroffene Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer DGN-Datei mit in böser Absicht erstellten Daten verwenden, kann ein Lesen oder Schreiben außerhalb des zulässigen Bereichs erzwungen werden. Die Ausnutzung dieser Schwachstellen beim Parsen von DGN-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
Applications | Affected Versions | Mitigated Versions |
MicroStation | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Bentley View | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur DGN-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.
Revision History
Date | Beschreibung |
07.12.2021 | Erste Version dieses Hinweises |
04.02.2022 | Adding new CVE numbers provided by ZDI |