BE-2022-0013: MicroStationおよびMicroStationベースのアプリケーションにおけるIFCファイル解析の境界外読み取りの脆弱性
Bentley ID: BE-2022-0013
CVE ID: CVE-2022-35904
重大度: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
公開日: 2022-07-13
改訂日: 2022-07-13
概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるIFCファイルを開くと、境界外読み取りの脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、情報が開示されることがあります。
詳細
脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるIFCファイルを開くと、境界外読み取りが強制実行されることがあります。IFCファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で情報を読み取ることがあります。
影響を受けるバージョン
| 用途 | 影響を受けるバージョン | 軽減されているバージョン |
| MicroStation | 10.16.*以前のバージョン | 10.17.0.*以降 |
| Bentley View | 10.16.*以前のバージョン | 10.17.0.*以降 |
推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。一般的なベストプラクティスとして、信頼できるソースから入手したIFCファイルのみを開くことが推奨されています。
謝辞
これらの脆弱性の発見者であるxina1i様に厚くお礼申し上げます。
改訂履歴
| 日付 | 製品名 |
| 2022-07-13 | この勧告の初版 |
| 2022-07-18 | CVE番号を追加 |
