Todos los avisos / BE-2021-0009

BE-2021-0009

BE-2021-0009: Out-of-bounds vulnerabilities in MicroStation and MicroStation-based applications

ID de Bentley: BE-2021-0009
CVE ID: CVE-2021-34897, CVE-2021-34904, CVE-2021-34905, CVE-2021-34910, CVE-2021-34914, CVE-2021-46589, CVE-2021-46635, CVE-2021-46636, CVE-2021-46637, CVE-2021-46638, CVE-2021-46639, CVE-2021-46640, CVE-2021-46641, CVE-2021-46642, CVE-2021-46643, CVE-2021-46644, CVE-2021-46646, CVE-2021-46648, CVE-2021-46649, CVE-2021-46650, CVE-2021-46651, CVE-2021-46652, CVE-2021-46654
Gravedad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Fecha de publicación: 07-12-2021
Fecha de revisión: 07-12-2021

Resumen
MicroStation y las aplicaciones basadas en MicroStation podrían verse afectados por vulnerabilidades fuera de los límites cuando se abren archivos DGN malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.

Detalles
Las siguientes vulnerabilidades relacionadas con este aviso fueron descubiertas por TrendMicro ZDI: ZDI-CAN-14864, ZDI-CAN-14877, ZDI-CAN-14878, ZDI-CAN-14883, ZDI-CAN-14892, ZDI-CAN-15383, ZDI-CAN-15507, ZDI-CAN-15508, ZDI-CAN-15509, ZDI-CAN-15510, ZDI-CAN-15511, ZDI-CAN-15512, ZDI-CAN-15513, ZDI-CAN-15514, ZDI-CAN-15515, ZDI-CAN-15530, ZDI-CAN-15532, ZDI-CAN-15534, ZDI-CAN-15535, ZDI-CAN-15536, ZDI-CAN-15537, ZDI-CAN-15538, ZDI-CAN-15540. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo DGN que contenga datos malintencionados puede forzar una lectura o escritura fuera de los límites permitidos. Explotar estas vulnerabilidades en el análisis de archivos DGN podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.

Versiones afectadas

Aplicaciones Versiones afectadas Versiones con menor vulnerabilidad
MicroStation Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente
Bentley View Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente

 

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos DGN que provengan de fuentes de confianza.

Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.

Historial de revisiones

Fecha Descripción
12-07-2021 Primera versión de este aviso
02-04-2022 Adición de nuevos números de Exposición
a Vulnerabilidades Comunes (número CVE) proporcionado por ZDI

20 % de descuento en software de Bentley

La oferta termina el viernes

Use el código de cupón "THANKS24"

Celebre la excelencia en la entrega y el rendimiento de la infraestructura

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

¡Nomine un proyecto para los premios más prestigiosos en infraestructura! El plazo ampliado para participar termina el 29 de abril.