Alle Hinweise / BE-2022-0017

BE-2022-0017

BE-2022-0017: SKP File Parsing Out-of-bounds Read Vulnerabilities and Stack Overflow in MicroStation and MicroStation-based applications

Bentley-ID: BE-2022-0017
CVE-ID: CVE-2022-42899
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 12.10.2022
Überarbeitungsdatum: 12.10.2022

Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können durch Schwachstellen außerhalb des zulässigen Bereichs oder von Stapelüberlauf betroffen sein, wenn in böser Absicht erstellte SKP-Dateien geöffnet werden. Die Ausnutzung dieser Schwachstellen könnte zur Offenlegung von Informationen und zur Codeausführung führen.

Details
Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer SKP-Datei, die in böser Absicht erstellte Daten enthält, kann ein Lesen außerhalb des zulässigen Bereichs oder einen Stapelüberlauf erzwingen. Die Ausnutzung dieser Schwachstellen beim Parsen von SKP-Dateien könnte es einem Angreifer ermöglichen, Informationen oder beliebigen Code im Kontext des aktuellen Prozesses zu lesen.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation 10.17.0.* and prior versions 10.17.01.58* and more recent
Bentley View 10.17.0.* and prior versions 10.17.01.19 and more recent

 

Empfohlene Abhilfemaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur SKP-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.

Danksagung
Vielen Dank an xina1i für die Entdeckung dieser Schwachstellen.

Revision History

Date Beschreibung
12.10.2022 Erste Version dieses Hinweises
13.10.2022 Adding CVE number

20 % Rabatt auf Bentley-Software

Angebot endet am Freitag

Verwenden Sie den Gutscheincode „THANKS24“

Feiern Sie mit uns die Umsetzung von Infrastruktur und herausragende Leistungen

Year in Infrastructure und Going Digital Awards 2024

Reichen Sie ein Projekt ein für die renommiertesten Auszeichnungen im Infrastrukturbereich! Die verlängerte Einreichungsfrist endet am 29. April.