BE-2021-0009: MicroStationおよびMicroStationベースのアプリケーションにおける境界外読み取り／書き込みの脆弱性

Bentley ID: BE-2021-0009
CVE ID: CVE-2021-34897, CVE-2021-34904, CVE-2021-34905, CVE-2021-34910, CVE-2021-34914, CVE-2021-46589, CVE-2021-46635, CVE-2021-46636, CVE-2021-46637, CVE-2021-46638, CVE-2021-46639, CVE-2021-46640, CVE-2021-46641, CVE-2021-46642, CVE-2021-46643, CVE-2021-46644, CVE-2021-46646, CVE-2021-46648, CVE-2021-46649, CVE-2021-46650, CVE-2021-46651, CVE-2021-46652, CVE-2021-46654
重大度: 7.8
CVSS v3.1:AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2021-12-07
改訂日:2021-12-07

概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるDNGファイルを開くと、境界外読み取りの脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。

詳細
この勧告に関連する次の脆弱性は、TrendMicro ZDI によって発見されました: ZDI-CAN-14864, ZDI-CAN-14877, ZDI-CAN-14878, ZDI-CAN-14883, ZDI-CAN-14892, ZDI-CAN-15383, ZDI-CAN-15507, ZDI-CAN-15508, ZDI-CAN-15509, ZDI-CAN-15510, ZDI-CAN-15511, ZDI-CAN-15512, ZDI-CAN-15513, ZDI-CAN-15514, ZDI-CAN-15515, ZDI-CAN-15530, ZDI-CAN-15532, ZDI-CAN-15534, ZDI-CAN-15535, ZDI-CAN-15536, ZDI-CAN-15537, ZDI-CAN-15538, ZDI-CAN-15540脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるDGNファイルを開くと、境界外読み取りまたは書き込みが強制実行されることがあります。DGNファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。

影響を受けるバージョン

推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できる送信元から送られてきたDGNファイルのみを開くことが推奨されています。

謝辞
これらの脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様に厚くお礼申し上げます。

改訂履歴