BE-2022-0020: DGN File Parsing Out-of-bounds Read and Stack Overflow Vulnerabilities in MicroStation and MicroStation-based applications
Bentley-ID: BE-2022-0020
CVE-ID: CVE-2022-40201, CVE-2022-41613
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 20.10.2022
Überarbeitungsdatum: 20.10.2022
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können durch Schwachstellen außerhalb des zulässigen Bereichs oder von Stapelüberlauf betroffen sein, wenn in böser Absicht erstellte DGN-Dateien geöffnet werden. Die Ausnutzung dieser Schwachstellen könnte zur Offenlegung von Informationen und zur Codeausführung führen.
Details
Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer DGN-Datei, die in böser Absicht erstellte Daten enthält, kann ein Lesen außerhalb des zulässigen Bereichs oder die Ausführung von beliebigem Code erzwingen. Die Ausnutzung dieser Schwachstellen beim Parsen von DGN-Dateien könnte es einem Angreifer ermöglichen, Informationen im Kontext des aktuellen Prozesses zu lesen oder eine Codeausführung erzwingen.
Affected Versions
Applications | Affected Versions | Mitigated Versions |
MicroStation | 10.17.0.209 and prior versions | 10.17.1.* and more recent |
Bentley View | 10.17.0.209 and prior versions | 10.17.1.* and more recent |
Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur DGN-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Michael Heinzl und das Industrial Control Systems Vulnerability Management and Coordination (ICS-VMC) Cybersecurity and Infrastructure Security Agency (CISA) US Department of Homeland Security (DHS) für die Entdeckung dieser Schwachstellen.
Revision History
Date | Beschreibung |
20.10.2022 | Erste Version dieses Hinweises |
28.10.2022 | Adding acknowledgment |