BE-2022-0020: MicroStationおよびMicroStationベースのアプリケーションにおけるDGNファイル解析の境界外読み取りおよびスタックオーバーフローの脆弱性
Bentley ID: BE-2022-0020
CVE ID: CVE-2022-40201、CVE-2022-41613
重大度: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2022-10-20
改訂日: 2022-10-20
概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるDGNファイルを開くと、境界外読み取りおよびスタックオーバーフローの脆弱性の影響を受けることがあります。これらの脆弱性が悪用され、情報が開示されたり、任意のコードが実行されたりすることがあります。
詳細
脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるDGNファイルを開くと、境界外読み取りや任意のコードが強制実行されることがあります。DGNファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で情報を読み取ったり、コードを実行したりすることがあります。
影響を受けるバージョン
用途 | 影響を受けるバージョン | 軽減されているバージョン |
MicroStation | 10.17.0.209以前のバージョン | 10.17.1.*以降 |
Bentley View | 10.17.0.209以前のバージョン | 10.17.1.*以降 |
推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できる送信元から送られてきたDGNファイルのみを開くことが推奨されています。
謝辞
これらの脆弱性の発見者であるMichael Heinzl様および米国国土安全保障省(DHS)サイバーセキュリティ・社会基盤安全保障庁(CISA)産業コントロールシステム脆弱性管理調整室(ICS-VMC)様に厚くお礼申し上げます。
改訂履歴
日付 | 製品名 |
2022-10-20 | この勧告の初版 |
2022-10-28 | 謝辞を追加 |