BE-2021-0002: MicroStationおよびMicroStationベースのアプリケーションにおける境界外読み取り／書き込みの脆弱性

Bentley ID: BE-2021-0002
CVE ID: CVE-2021-34871、 CVE-2021-34893、CVE-2021-34896、CVE-2021-34903、 CVE-2021-34907、CVE-2021-46605、 CVE-2021-46606、 CVE-2021-46615、 CVE-2021-46616、CVE-2021-46628, CVE-2021-46629、CVE-2021-46645, CVE-2021-46647, CVE-2021-46653
重大度: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2021-12-07
改訂日:2021-12-07

概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるBMPファイルを開くと、境界外読み取りの脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。

詳細
この勧告に関連する次の脆弱性は、TrendMicro ZDI によって発見されました: ZDI-CAN-14695、ZDI-CAN-14846、 ZDI-CAN-14863、ZDI-CAN-14876、 ZDI-CAN-14880、 ZDI-CAN-15399、ZDI-CAN-15400、 ZDI-CAN-15409、ZDI-CAN-15410、 ZDI-CAN-15458、ZDI-CAN-15459、ZDI-CAN-15531、ZDI-CAN-15533、およびZDI-CAN-15539脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるBMPファイルを開くと、境界外読み取り／書き込みが強制実行されることがあります。BMPファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。

影響を受けるバージョン

推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できるソースから入手したBMPファイルのみを開くことが推奨されています。

謝辞
ZDI-CAN-14695を発見してくれたFrancis Provencher {PRL}に感謝します。この勧告に関連したその他の脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様に厚くお礼申し上げます。

改訂履歴