Todos los avisos / BE-2021-0004

BE-2021-0004

BE-2021-0004: vulnerabilidades de fuera de los límites permitidos y de memoria (use-after-free) en MicroStation y aplicaciones basadas en MicroStation

Bentley ID: BE-2021-0004
CVE ID: CVE-2021-34874, CVE-2021-34875, CVE-2021-34880, CVE-2021-34889, CVE-2021-34894, CVE-2021-34895, CVE-2021-34901, CVE-2021-34911, CVE-2021-46575, CVE-2021-46586, CVE-2021-46587, CVE-2021-46592, CVE-2021-46595, CVE-2021-46602, CVE-2021-46607, CVE-2021-46623
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N Fecha de publicación:
07-12-2021 Fecha de revisión: 07-12-2021

Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectadas por vulnerabilidades de fuera de los límites y de memoria cuando se abren archivos 3DS malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.

Detalles
Las siguientes vulnerabilidades relacionadas con esta asesoría las descubrió TrendMicro ZDI: ZDI-CAN-14736, ZDI-CAN-14827, ZDI-CAN-14833, ZDI-CAN-14842, ZDI-CAN-14847, ZDI-CAN-14862, ZDI-CAN-14874, ZDI-CAN-14884, ZDI-CAN-15369, ZDI-CAN-15380, ZDI-CAN-15381, ZDI-CAN-15386, ZDI-CAN-15389, ZDI-CAN-15396. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo 3DS que contenga datos malintencionados puede forzar una vulnerabilidad de fuera de los límites permitidos (out-of-bounds) o de memoria (use-after-free). Explotar estas vulnerabilidades en el análisis de archivos 3DS podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.

Versiones afectadas

Aplicaciones Versiones afectadas Versiones con menor vulnerabilidad
MicroStation Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente
Bentley View Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente

 

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como práctica recomendada general, también se aconseja abrir solo los archivos 3DS que provengan de fuentes de confianza.

Reconocimiento
Gracias a Francis Provencher {PRL} por descubrir ZDI-CAN-14736. Gracias a Mat Powell de Zero Day Initiative de Trend Micro por descubrir el resto de las vulnerabilidades relacionadas con este aviso

Historial de revisiones

Fecha Descripción
12-07-2021 Primera versión de este aviso
02-04-2022 Adición de nuevos números de Exposición
a Vulnerabilidades Comunes (número CVE) proporcionados por ZDI

Guiémosle hacia la respuesta correcta o contacte a un agente.

Logo negro de Bentley Systems
Explorar
Software
Licencias y suscripciones
Mi cuenta/Crear perfil
Tienda de software
Construya con nosotros
Profesores y estudiantes
Desarrolladores
Investigación de productos
Legal

Información legal
Centro de confianza

Empresa
Acerca de Bentley Systems
Carreras
Contáctenos
Inversionistas
Noticias
Eventos
Blog
Year in Infrastructure
Factores ASG
Infrastructure Yearbook
Boletín informativo sobre moneda digital
COP
Soporte
Centro de apoyo
Capacitación
Servicios
Bentley Communities
Inversiones
Fondo iTwin Ventures de Bentley
Empresas y socios

Socios de ventas y de capacitación
Seequent, la empresa de Bentley para subsuelo
Cohesive

Política de privacidad | Condiciones de uso | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley Systems, incorporated

Celebre la excelencia en la entrega y el rendimiento de la infraestructura

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

¡Nomine un proyecto para los premios más prestigiosos en infraestructura! El plazo ampliado para participar termina el 29 de abril.

Nomine un proyecto