Todos os avisos / BE-2021-0009

BE-2021-0009

BE-2021-0009: Vulnerabilidades fora dos limites em aplicações baseadas em MicroStation e MicroStation

Bentley ID: BE-2021-0009
CVE ID: CVE-2021-34897, CVE-2021-34904, CVE-2021-34905, CVE-2021-34910, CVE-2021-34914, CVE-2021-46589, CVE-2021-46635, CVE-2021-46636, CVE-2021-46637, CVE-2021-46638, CVE-2021-46639, CVE-2021-46640, CVE-2021-46641, CVE-2021-46642, CVE-2021-46643, CVE-2021-46644, CVE-2021-46646, CVE-2021-46648, CVE-2021-46649, CVE-2021-46650, CVE-2021-46651, CVE-2021-46652, CVE-2021-46654
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data de publicação:2021-12-07
Data de revisão: 2021-12-07

Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites (out-of-bounds) ao abrir arquivos DGN criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.

Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-14864, ZDI-CAN-14877, ZDI-CAN-14878, ZDI-CAN-14883, ZDI-CAN-14892, ZDI-CAN-15383, ZDI-CAN-15507, ZDI-CAN-15508, ZDI-CAN-15509, ZDI-CAN-15510, ZDI-CAN-15511, ZDI-CAN-15512, ZDI-CAN-15513, ZDI-CAN-15514, ZDI-CAN-15515, ZDI-CAN-15530, ZDI-CAN-15532, ZDI-CAN-15534, ZDI-CAN-15535, ZDI-CAN-15536, ZDI-CAN-15537, ZDI-CAN-15538, ZDI-CAN-15540. O uso de uma versão afetada do MicroStation e no aplicativo baseado no MicroStation para abrir um arquivo DGN contendo dados criados maliciosamente, pode forçar um erro de leitura fora dos limites (out-of-bounds write). A exploração destas vulnerabilidades dentro da análise dos arquivos DGN poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.

Versões afetadas

Aplicações Versões afetadas Versões mitigadas
MicroStation Versões anteriores a 10.16.02.* 10.16.02.* e mais recentes
Bentley View Versões anteriores a 10.16.02.* 10.16.02.* e mais recentes

 

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos DGN provenientes de fontes confiáveis.

Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.

Histórico de revisão

Data Descrição
2021-12-07 Primeira versão da assessoria
2022-02-04 Adicionando novos números de CVE fornecidos pela ZDI

Vamos guiá-lo para a resposta certa ou agente certo.

Logotipo preto da Bentley Systems
Explorar
Software
Licenças e assinaturas
Minha conta/Criar perfil
Comprar software
Construa conosco
Alunos e professores
Desenvolvedores
Pesquisa de produto
Jurídico

Panorama Jurídico
Trust Center

Empresa
Sobre
Carreiras
Contate-nos
Investidores
Notícias
Eventos
Blog
Year in Infrastructure
ESG
Infrastructure Yearbook
Digital Currency Newsletter
COP
Suporte
Centro de apoio
Treinamento
Serviços
Bentley Communities
INVESTIMENTOS
Fundo Bentley iTwin Ventures
Business & Partners

Parceiros de canal e treinamento
Seequent, a empresa de subsuperfície da Bentley
Cohesive

Política de privacidade | Termos de uso | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley systems, incorporated

Comemore a excelência na entrega e no desempenho da infraestrutura

Year in Infrastructure e Going Digital Awards 2024

Indique um projeto para os prêmios de maior prestígio em infraestrutura! O prazo estendido para participar é 29 de abril.

Enviar projeto