BE-2022-0004: DGN File Parsing Out-of-bounds vulnerabilities in MicroStation and MicroStation-based applications
Bentley-ID: BE-2022-0004
CVE-ID: CVE-2021-46646, CVE-2022-28642, CVE-2022-28643, CVE-2022-28644, CVE-2022-28645
Schweregrad: 7,8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 05.04.2022
Überarbeitungsdatum: 05.04.2022
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen sind beim Öffnen von in böser Absicht erstellten DGN-Dateien von einer Schwachstelle beim Parsen von DGN-Dateien außerhalb des zulässigen Bereichs betroffen. Die Ausnutzung dieser Schwachstellen führt zur Ausführung von beliebigem Code. Die Ausnutzung dieser Schwachstellen führt zur Ausführung von beliebigem Code.
Details
Die folgenden Schwachstellen im Zusammenhang mit dieser Empfehlung wurden von TrendMicro ZDI entdeckt: ZDI-CAN-15532, ZDI-CAN-16424, ZDI-CAN-16468, ZDI-CAN-16469 and ZDI-CAN-16470. Wenn Sie eine betroffene Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer DGN-Datei mit in böser Absicht erstellten Daten verwenden, kann ein Lesen oder Schreiben außerhalb des zulässigen Bereichs erzwungen werden. Das Ausnutzen dieser Schwachstellen beim Parsen von DGN-Dateien ermöglicht es einem Angreifer, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur DGN-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.
Revision History
| Date | Beschreibung |
| 05.04.2022 | Erste Version dieses Hinweises |
