BE-2021-0009: Out-of-bounds vulnerabilities in MicroStation and MicroStation-based applications

벤틀리 ID: BE-2021-0009
CVE ID: CVE-2021-34897, CVE-2021-34904, CVE-2021-34905, CVE-2021-34910, CVE-2021-34914, CVE-2021-46589, CVE-2021-46635, CVE-2021-46636, CVE-2021-46637, CVE-2021-46638, CVE-2021-46639, CVE-2021-46640, CVE-2021-46641, CVE-2021-46642, CVE-2021-46643, CVE-2021-46644, CVE-2021-46646, CVE-2021-46648, CVE-2021-46649, CVE-2021-46650, CVE-2021-46651, CVE-2021-46652, CVE-2021-46654
심각도: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
발행일: 2021-12-07
개정일: 2021-12-07

요약
MicroStation 및 MicroStation 기반 애플리케이션은 악의적으로 제작된 DGN 파일을 열 때 범위를 벗어난 취약성의 영향을 받을 수 있습니다. 이러한 취약성을 악용하면 코드가 실행될 수 있습니다.

세부 정보
이 권고와 관련하여 ZDI-CAN-14864, ZDI-CAN-14877, ZDI-CAN-14878, ZDI-CAN-14883, ZDI-CAN-14892, ZDI-CAN-15383, ZDI-CAN-15507, ZDI-CAN-15508, ZDI-CAN-15509, ZDI-CAN-15510, ZDI-CAN-15511, ZDI-CAN-15512, ZDI-CAN-15513, ZDI-CAN-15514, ZDI-CAN-15515, ZDI-CAN-15530, ZDI-CAN-15532, ZDI-CAN-15534, ZDI-CAN-15535, ZDI-CAN-15536, ZDI-CAN-15537, ZDI-CAN-15538, ZDI-CAN-15540 취약성은 TrendMicro ZDI에서 발견했습니다. 영향을 받는 MicroStation 또는 MicroStation 기반 애플리케이션 버전을 사용하여 악의적으로 제작된 데이터가 있는 DGN 파일을 열면 범위를 벗어난 읽기 또는 쓰기가 강제로 수행될 수 있습니다. 공격자는 DGN 파일 구문 해석 내 이러한 취약성을 악용하여 현재 프로세스의 컨텍스트에 있는 임의의 코드를 실행할 수 있습니다.

영향을 받는 버전

권장 조치
벤틀리는 최신 버전의 MicroStation 및 MicroStation 기반 애플리케이션으로 업데이트할 것을 권장합니다. 신뢰할 수 있는 출처의 DGN 파일만 여는 것도 일반적인 모범 사례로 권장됩니다.

감사의 말
이러한 취약성을 발견한 Trend Micro Zero Day Initiative의 Mat Powell에게 감사드립니다.

개정 이력