Tous les avis / BE-2022-0020

BE-2022-0020

BE-2022-0020: DGN File Parsing Out-of-bounds Read and Stack Overflow Vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley : BE-2022-0020
ID CVE : CVE-2022-40201, CVE-2022-41613
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 20-102022
Date de révision : 20-10-2022

Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités de lecture hors limites et de dépassement de pile lors de l’ouverture de fichiers DGN conçus de façon malveillante. L’exploitation de ces vulnérabilités pourrait entraîner la divulgation d’informations ou l’exécution arbitraire de code.

Détails
L’utilisation d’une version affectée de MicroStation ou d’une application basée sur MicroStation pour ouvrir un fichier DGN contenant des données conçues de façon malveillante peut forcer une lecture hors limites ou l’exécution de code arbitraire. L’exploitation de ces vulnérabilités dans le cadre du traitement de fichiers DGN pourrait permettre à un attaquant de lire des informations ou d’exécuter du code dans le contexte du processus en cours.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation 10.17.0.209 and prior versions 10.17.1.* and more recent
Bentley View 10.17.0.209 and prior versions 10.17.1.* and more recent

 

Mesures d’atténuation recommandées
Bentley recommande d’effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n’ouvrir que les fichiers DGN provenant de sources fiables.

Remerciements
Merci à Michael Heinzl et à l'Industrial Control Systems Vulnerability Management and Coordination (ICS-VMC), à Cybersecurity and Infrastructure Security Agency (CISA), et au US Department of Homeland Security (DHS) pour avoir découvert ces vulnérabilités.

Revision History

Date Description
20-10-2022 Première version de l’avis
28-10-2022 Adding acknowledgment