모든 권고 / BE-2022-0008

BE-2022-0008

BE-2022-0008: MicroStation 및 MicroStation 기반 애플리케이션의 OBJ 파일 구문 분석 스택 오버플로 취약성

벤틀리 ID: BE-2022-0008
CVE ID: CVE-2022-28304, CVE-2022-28305, CVE-2022-28306
심각도: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
발행일: 2022-04-05
개정일: 2022-04-05

요약
MicroStation 및 MicroStation 기반 애플리케이션은 악의적으로 제작된 OBJ 파일을 열 때 스택 오버플로 취약성의 영향을 받을 수 있습니다. 이러한 취약성을 악용하면 코드가 실행될 수 있습니다.

세부 정보
이 권고와 관련된 ZDI-CAN-16171, ZDI-CAN-16172 및 ZDI-CAN-16174의 취약성은 TrendMicro ZDI에서 발견했습니다. 영향을 받는 MicroStation 또는 MicroStation 기반 애플리케이션 버전을 사용하여 악의적으로 제작된 데이터가 있는 OBJ 파일을 열면 스택 오버플로가 강제로 수행될 수 있습니다. 공격자는 OBJ 파일 구문 분석 내 이러한 취약성을 악용하여 현재 프로세스의 컨텍스트에서 임의 코드를 실행할 수 있습니다.

영향을 받는 버전

애플리케이션 영향을 받는 버전 완화된 버전
MicroStation 10.16.02* 이하 버전 10.16.03.* 이상
Bentley View 10.16.02* 이하 버전 10.16.03.* 이상

 

권장 조치
벤틀리는 최신 버전의 MicroStation 및 MicroStation 기반 애플리케이션으로 업데이트할 것을 권장합니다. 신뢰할 수 있는 출처의 OBJ 파일만 여는 것도 일반적인 모범 사례로 권장됩니다.

감사의 말
이러한 취약성을 발견한 Trend Micro Zero Day Initiative의 익명 사용자에게 감사드립니다.

개정 이력

일자 설명
2022-04-05 1차 권고 버전

20% 할인 벤틀리 소프트웨어

금요일에 할인 종료

쿠폰 코드 "THANKS24" 사용

인프라 납품 및 성능 우수성 축하

2024 Year in Infrastructure & Going Digital Awards

인프라 분야에서 가장 권위 있는 시상식에 프로젝트를 출품하세요! 연장된 참가 마감일은 4월 29일입니다.