Todos los avisos / BE-2021-0010

BE-2021-0010

BE-2021-0010: vulnerabilidades de lectura fuera de los límites permitidos en MicroStation y aplicaciones basadas en MicroStation

ID de Bentley: BE-2021-0010
CVE ID: CVE-2021-34902, CVE-2021-34916, CVE-2021-46593, CVE-2021-46594, CVE-2021-46608, CVE-2021-46624
Gravedad: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Fecha de publicación: 07-12-2021
Fecha de revisión: 07-12-2021

Resumen
MicroStation y las aplicaciones basadas en MicroStation podrían verse afectados por vulnerabilidades fuera de los límites cuando se abren archivos DWG malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.

Detalles
Las siguientes vulnerabilidades relacionadas con esta asesoría las descubrió TrendMicro ZDI: ZDI-CAN-14875, ZDI-CAN-14894, ZDI-CAN-15387, ZDI-CAN-15388, ZDI-CAN-15402, ZDI-CAN-15454. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo DWG que contenga datos malintencionados puede forzar una lectura fuera de los límites permitidos (out-of-bounds). Explotar estas vulnerabilidades en el análisis de archivos DWG podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.

Versiones afectadas

Aplicaciones Versiones afectadas Versiones con menor vulnerabilidad
MicroStation Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente
Bentley View Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente

 

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y las aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir sólo los archivos DWG que provengan de fuentes de confianza.

Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.

Historial de revisiones

Fecha Descripción
12-07-2021 Primera versión de este aviso
02-04-2022 Adición de nuevos números de Exposición
a Vulnerabilidades Comunes (número CVE) proporcionado por ZDI

20 % de descuento en software de Bentley

La oferta termina el viernes

Use el código de cupón "THANKS24"

Celebre la excelencia en la entrega y el rendimiento de la infraestructura

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

¡Nomine un proyecto para los premios más prestigiosos en infraestructura! El plazo ampliado para participar termina el 29 de abril.