すべての勧告 / BE-2021-0008

BE-2021-0008

BE-2021-0008: MicroStationおよびMicroStationベースのアプリケーションにおける境界外読み取り/書き込みおよび解放済みメモリ使用の脆弱性

Bentley ID: BE-2021-0008
CVE ID: CVE-2021-34882、CVE-2021-34884、CVE-2021-34918、CVE-2021-34919、CVE-2021-46582、CVE-2021-46611、CVE-2021-46632
重大度:7.8
CVSS v3.1:AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2021-12-07
改訂日: 2021-12-07

MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるJP2ファイルを開くと、境界外読み取りまたは解放済みメモリ使用(Use-After-Free)の脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。

詳細
この勧告に関連してTrendMicro ZDIによって発見された脆弱性は、ZDI-CAN-14835、ZDI-CAN-14837、ZDI-CAN-14896、ZDI-CAN-14897、ZDI-CAN-15376、ZDI-CAN-15405、ZDI-CAN-15462です。脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるJP2ファイルを開くと、境界外読み取りまたは解放済みメモリ使用(Use-After-Free)の脆弱性が露呈することがあります。JP2ファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。

影響を受けるバージョン

用途 影響を受けるバージョン 軽減されているバージョン
MicroStation 10.16.02.*以前のバージョン 10.16.02.*以降
Bentley View 10.16.02.*以前のバージョン 10.16.02.*以降

 

推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できる送信元から送られてきたJP2ファイルのみを開くことが推奨されています。

謝辞
これらの脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様に厚くお礼申し上げます。

改訂履歴

日付 製品名
2021-12-07 この勧告の初版
2022-04-02 ZDIにより提供された新しいCVE番号を追加。

Bentleyソフトウェアが20%オフ

セールは金曜日まで

クーポンコード「THANKS24」を使用

インフラストラクチャの提供とパフォーマンスの卓越性を称える

2024 Year in Infrastructure & Going Digital Awards

インフラ分野で最も権威のある賞にプロジェクトをノミネートしましょう! 応募期限は4月 29日です。