BE-2022-0020: MicroStation 및 MicroStation 기반 애플리케이션의 DGN 파일 구문 분석 범위를 벗어난 읽기 및 스택 오버플로 취약성
벤틀리 ID : BE-2022-0020
CVE ID : CVE-2022-40201, CVE-2022-41613
심각도 : 7.8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
발행일 : 2022-10-20
개정일 : 2022-10-20
요약
MicroStation 및 MicroStation 기반 애플리케이션은 악의적으로 제작된 DGN 파일을 열 때 범위를 벗어난 읽기 및 스택 오버플로 취약성의 영향을 받을 수 있습니다. 이러한 취약성을 악용하면 정보가 노출되거나 임의 코드가 실행될 수 있습니다.
세부 정보
영향을 받는 MicroStation 또는 MicroStation 기반 애플리케이션 버전을 사용하여 악의적으로 제작된 데이터가 있는 DGN 파일을 열면 범위를 벗어난 읽기가 강제로 수행되거나 임의 코드가 강제로 실행될 수 있습니다. 공격자는 DGN 파일 구문 분석 내에서 이러한 취약성을 악용하여 현재 프로세스의 컨텍스트에서 정보를 읽거나 코드를 실행할 수 있습니다.
영향을 받는 버전
애플리케이션 | 영향을 받는 버전 | 완화된 버전 |
MicroStation | 10.17.0.209 이하 버전 | 10.17.1.* 이상 |
Bentley View | 10.17.0.209 이하 버전 | 10.17.1.* 이상 |
권장 조치
벤틀리는 최신 버전의 MicroStation 및 MicroStation 기반 애플리케이션으로 업데이트할 것을 권장합니다. 신뢰할 수 있는 출처의 DGN 파일만 여는 것도 일반적인 모범 사례로 권장됩니다.
감사의 말
이러한 취약성을 발견한 Michael Heinzl과 ICS-VMC(Industrial Control Systems Vulnerability Management and Coordination) CISA(Cybersecurity and Infrastructure Security Agency) US DHS(Department of Homeland Security)에 감사드립니다.
개정 이력
일자 | 설명 |
2022-10-20 | 1차 권고 버전 |
2022-10-28 | 승인 추가 |