Alle Hinweise / BE-2022-0020

BE-2022-0020

BE-2022-0020: DGN File Parsing Out-of-bounds Read and Stack Overflow Vulnerabilities in MicroStation and MicroStation-based applications

Bentley-ID: BE-2022-0020
CVE-ID: CVE-2022-40201, CVE-2022-41613
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 20.10.2022
Überarbeitungsdatum: 20.10.2022

Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können durch Schwachstellen außerhalb des zulässigen Bereichs oder von Stapelüberlauf betroffen sein, wenn in böser Absicht erstellte DGN-Dateien geöffnet werden. Die Ausnutzung dieser Schwachstellen könnte zur Offenlegung von Informationen und zur Codeausführung führen.

Details
Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer DGN-Datei, die in böser Absicht erstellte Daten enthält, kann ein Lesen außerhalb des zulässigen Bereichs oder die Ausführung von beliebigem Code erzwingen. Die Ausnutzung dieser Schwachstellen beim Parsen von DGN-Dateien könnte es einem Angreifer ermöglichen, Informationen im Kontext des aktuellen Prozesses zu lesen oder eine Codeausführung erzwingen.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation 10.17.0.209 and prior versions 10.17.1.* and more recent
Bentley View 10.17.0.209 and prior versions 10.17.1.* and more recent

 

Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur DGN-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.

Danksagung
Vielen Dank an Michael Heinzl und das Industrial Control Systems Vulnerability Management and Coordination (ICS-VMC) Cybersecurity and Infrastructure Security Agency (CISA) US Department of Homeland Security (DHS) für die Entdeckung dieser Schwachstellen.

Revision History

Date Beschreibung
20.10.2022 Erste Version dieses Hinweises
28.10.2022 Adding acknowledgment