BE-2022-0006: MicroStationおよびMicroStationベースのアプリケーションにおけるIFCファイル解析の脆弱性
Bentley ID: BE-2022-0006
CVE ID: CVE-2022-28314, CVE-2022-28315, CVE-2022-28316, CVE-2022-28317, CVE-2022-28318, CVE-2022-28641, CVE-2022-28301, CVE-2022-28302, CVE-2022-28646, CVE-2022-28647, CVE-2022-1229
重大度: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2022-04-05
改訂日: 2022-04-05
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるIFCファイルを開くと、IFCファイル解析の脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。
詳細
この勧告に関連する次の脆弱性は、TrendMicro ZDI によって発見されました: ZDI-CAN-16332、ZDI-CAN-16367、 ZDI-CAN-16368、ZDI-CAN-16369、 ZDI-CAN-16379、 ZDI-CAN-16390、ZDI-CAN-16392、 ZDI-CAN-16446、ZDI-CAN-16570、 ZDI-CAN-16573 および ZDI-CAN-16581脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるIFCファイルを開くと、境界外読み取りや書き込み、スタックオーバーフロー、または未初期化変数による脆弱性が強制実行されることがあります。IFCファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。
影響を受けるバージョン
| 用途 | 影響を受けるバージョン | 軽減されているバージョン |
| MicroStation | 10.16.02.*以前のバージョン | 10.16.03.*以降 |
| Bentley View | 10.16.02.*以前のバージョン | 10.16.03.*以降 |
推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。一般的なベストプラクティスとして、信頼できるソースから入手したIFCファイルのみを開くことが推奨されています。
謝辞
これらの脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様および匿名者の皆様に厚くお礼申し上げます。
改訂履歴
| 日付 | 製品名 |
| 2022-04-05 | この勧告の初版 |
