Tous les avis / BE-2021-0007

BE-2021-0007

BE-2021-0007: Out-of-bounds read vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley : BE-2021-0007
ID CVE : CVE-2021-34881, CVE-2021-46596
Gravité : 3,3
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Date de publication : 07-12-2021
Date de révision : 07-12-2021

Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités de type hors limites lors de l'ouverture de fichiers OBJ conçus de façon malveillante. L'exploitation de ces vulnérabilités pourrait entraîner l'exécution de code.

Détails
Les vulnérabilités suivantes liées à cet avis ont été découvertes par TrendMicro ZDI : ZDI-CAN-14834 et ZDI-CAN-15390. L'utilisation d'une version affectée de MicroStation ou d'une application basée sur MicroStation pour ouvrir un fichier OBJ contenant des données conçues de façon malveillante peut forcer une lecture hors limites. L'exploitation de ces vulnérabilités pourrait permettre à un attaquant d'exécuter du code arbitraire dans le contexte du processus en cours.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation Versions prior to 10.16.02.* 10.16.02.* and more recent
Bentley View Versions prior to 10.16.02.* 10.16.02.* and more recent

 

Mesures d’atténuation recommandées
Bentley recommande d’effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n’ouvrir que les fichiers OBJ provenant de sources fiables.

Remerciements
Merci à Mat Powell de l'initiative Zero Day de Trend Micro d'avoir découvert ces vulnérabilités.

Revision History

Date Description
07-12-2021 Première version de l’avis
04-02-2022 Adding new CVE numbers provided by ZDI

20 % de réduction sur les logiciels Bentley

L'OFFRE PREND FIN VENDREDI

Utilisez le code « THANKS24 »

Célébrez l'excellence en matière d'infrastructure et de performance

Year in Infrastructure 2024 et Going Digital Awards

Présentez un projet pour les prix les plus prestigieux en matière d'infrastructure ! La nouvelle date limite d'inscription est le 29 avril.