信任中心

欧特克信任中心

安全咨询

通知用于传达与Autodesk®产品和服务中发现的漏洞相关的信息。beplay官网客服电话这包括适用于受影响产品的任何修复或解决方案。

Autodesk®Design Review软件中的漏洞

Autodesk ID: ADSK-SA-2021-0003
产品、服务、组件:Autodesk®Design Review
影响:双重释放,堆溢出,越界读/写,释放后使用,类型混淆,未初始化变量
严重程度:高
原始发布日期:14/06/2021
最后更新日期:2021年10月4日

严重程度

CVSS 3.0评分

影响

0.1 - 3.9

利用的范围和影响受到限制,并且利用的能力极其困难的漏洞。

媒介

4.0 - 6.9

由于难以利用、默认配置或易于识别等因素而减轻利用的漏洞。

7.0 - 8.9

一个漏洞,如果被利用,将直接影响用户数据或处理资源的机密性、完整性或可用性。

至关重要的

9.0 - 10

一个漏洞,如果被利用,将允许在没有用户操作的情况下远程执行恶意代码。

总结

使用Autodesk Design Review的应用程序和服务可能受到双重释放、堆溢出、越界读/写、释放后使用、类型混淆和未初始化变量漏洞的影响。利用这些漏洞可能导致远程代码执行。

描述

漏洞的详细信息如下:

  1. cve - 2021 - 27034-在Autodesk Design Review 2018、2017、2013、2012、2011中解析PICT、PCX、RCL或TIFF文件时,可能发生基于堆的缓冲区溢出。可以利用此漏洞执行任意代码。
  2. cve - 2021 - 27035-在Autodesk Design Review 2018, 2017, 2013, 2012, 2011中恶意制作的TIFF, PICT, TGA, PCT或DWF文件可以在解析TIFF, PICT, TGA, PCT或DWF文件时强制读取超出分配的边界。可以利用此漏洞执行任意代码。
  3. cve - 2021 - 27036-在Autodesk Design Review 2018, 2017, 2013, 2012, 2011中恶意制作的PCX, PICT, RCL或TIFF文件可用于在解析PCX, PDF, PICT, RCL或TIFF文件时写入超出分配的缓冲区。可以利用此漏洞执行任意代码。

受影响的产品beplay官网客服电话

影响版本

减轻版本

更新源

Autodesk®设计评审

2018、2017、2013、2012、2011年

2018补丁4

欧特克知识网络

*注:产品列表表内容可能会有变化。

**注:Autodesk Design Review2018补丁3除2018 Hotfix 4外,还包括CVE-2021-27033、CVE-2021-27037、CVE-2021-27038、CVE-2021-27039以及上述cve。

建议

强烈建议Autodesk Design Review 2018的用户通过web下载并安装上述安全修复程序欧特克知识网络。使用Autodesk®Design Review 2013或更早版本产品的客户需要按照安装指南中的安装说明升级到2018或更高版本欧特克知识网络。使用不再有资格获得全面支持的以前版本的客户应计划尽快升级到受支持的版本,以避免停机和潜在的安全漏洞。参观欧特克知识网络有关以前版本支持的更多信息。作为一般的最佳实践,我们还建议客户只打开来自可信来源的文件。

致谢

我们要感谢以下 人员报告相关的 问题,并与欧特克合作帮助保护我们的客户:

  • CVE-2021-27033、CVE-2021-27035、CVE-2021-27036、CVE-2021-27037、CVE-2021-27038与趋势科技的零日攻击计划(ZDI)协调报告。
  • 趋势科技零日计划报告CVE-2021-27034、CVE-2021-27035、CVE-2021-27036、CVE-2021-27037、CVE-2021-27039。
  • Francis Provencher {PRL}报告CVE-2021-27034和CVE-2021-27036与趋势科技的零日计划(ZDI)计划协调。
  • Tran Van Khang - khangkito (VinCSS)与趋势科技零日计划合作报告CVE-2021-27036
  • Kdot与趋势科技零日计划合作报告CVE-2021-27034和CVE-2021-27036。
  • Venustech ADLab与HackerOne合作报告CVE-2021-27035。
  • 来自Fortinet FortiGuard实验室的Kushal Arvind Shah报告了CVE-2021-27035。

修订历史

修订

日期

描述

1.0

14/06/2021

最初版本

1.1

04/10/2021

更新产品表等

免责声明

本文档中的信息与autodesk®产品“按原样”提供。beplay官网客服电话欧特克和/或其各自的子公司、联属公司、供应商和许可人及其及其董事、高级职员、雇员、代理人和代表不就本网站、本网站所含的任何产品和服务或本网站为任何目的发布的材料、信息、内容、文件和相关图形中所含信息的适用性作出任何陈述。beplay官网客服电话本网站、通过本网站获得的任何beplay官网客服电话产品或服务(包括但不限于第三方产品和服务),以及所有此类信息、内容、文档和相关图形供您使用,风险由您自行承担,且“按原样”提供,不作任何形式的保证。欧特克和/或其各自的子公司、联属公司、供应商和许可人特此声明对本网站、此类产品和服务以及此类信息、内容、文件和相关图形的所有保证和条件,包括所有关于适销性、适用于特定目的、所有权和不侵权的默示保证和条件。beplay官网客服电话

©2021,Autodesk, Inc。

欢迎${RESELLERNAME}客户

请选择加入以获得经销商支持

我同意Autodesk可以与${RESELLERNAME}共享我的姓名和电子邮件地址,以便${RESELLERNAME}提供安装支持并向我发送营销通信。我明白经销商将是负责如何使用和管理这些数据的一方。

需要电子邮件 输入的电子邮箱无效。

不,谢谢,我不需要${RESELLERNAME}的支持
$ {RESELLERNAME}
Baidu
map