Autodesk ID: ADSK-SA-2021-0009
产品,服务,组件:Autodesk®Navisworks
影响:越界读,越界写
严重程度:高
原始发布:9/13/2021
最后修订:7/20/2022
欧特克信任中心
警告用于传达与欧特克®产品和服务识别的漏洞相关的信息。beplay官网客服电话这包括适用于受影响产品的任何修复程序或变通方法。
Autodesk ID: ADSK-SA-2021-0009
产品,服务,组件:Autodesk®Navisworks
影响:越界读,越界写
严重程度:高
原始发布:9/13/2021
最后修订:7/20/2022
严重程度 |
CVSS 3.0分数 |
影响 |
---|---|---|
低 |
0.1 - 3.9 |
一种漏洞,其利用范围和影响受到限制,且利用能力极其困难。 |
媒介 |
4.0 - 6.9 |
由于难以利用、默认配置或易于识别等因素而减轻利用的漏洞。 |
高 |
7.0 - 8.9 |
漏洞一旦被利用,将直接影响用户数据或处理资源的机密性、完整性或可用性。 |
至关重要的 |
9.0 - 10 |
一个漏洞,如果被利用,将允许远程执行恶意代码而无需用户操作。 |
使用Autodesk Navisworks的应用程序和服务可能会受到越界读取和越界写入漏洞的影响。利用这些漏洞可能导致代码执行。
漏洞详细信息如下:
1)cve - 2021 - 40155-在Autodesk Navisworks 2019、2020、2021、2022中恶意制作的DWG文件可以在解析DWG文件时强制读取超出分配的边界。可以利用此漏洞执行任意代码。
2)cve - 2021 - 40156-在Autodesk Navisworks 2019、2020、2021、2022中恶意制作的DWG文件在解析DWG文件时,可以强制写入超出分配的边界。可以利用此漏洞执行任意代码。
项 |
影响版本 |
减轻版本 |
更新源 |
---|---|---|---|
Autodesk®Navisworks |
2022、2021、2020、2019 |
2022.1、2021.5、2020.5、2019.7 |
Autodesk桌面应用程序,或账户门户 |
*注:产品列表表内容可能会有所变动
欧特克强烈建议客户下载并安装最新版本的Autodesk®Navisworks 2022 Update 2,该版本可通过欧特克桌面应用程序或账户门户.此版本的Autodesk Navisworks包含解决DWG文件漏洞的安全更新。作为一般的最佳实践,我们还建议客户只从可信来源打开DWG文件。更多信息可在Autodesk上获得Navisworks论坛页面。
使用以前版本的客户如果不再有资格获得全面支持,应计划尽快升级到受支持的版本,以避免停机和潜在的安全漏洞。参观Autodesk知识网络有关以前版本支持的详细信息。
我们感谢以下人员报告相关问题,并与欧特克合作帮助保护我们的客户:
修订 |
日期 |
描述 |
---|---|---|
1.0 |
9/13/2021 |
安全公告的首次发布 |
1.1 |
9/27/2021 |
更新建议 |
1.2 |
3/31/2022 |
更新到产品表 |
1.3 |
4/28/2022 |
更新产品表以包括Navisworks 2020更新 |
1.4 |
5/25/2022 |
更新到产品表,以包括2019年更新 |
1.5 |
7/20/2022 |
更新产品表以包括2021年更新 |
免责声明
本文件中的信息是“按现状”提供的与autodesk®产品有关的信息。beplay官网客服电话欧特克和/或其各自的子公司、关联公司、供应商和许可人及其及其董事、高级职员、员工、代理和代表不对网站、网站上包含的任何产品和服务,或为任何目的在本网站上发布的材料、信息、内容、文件和相关图形中包含的信息的适用性作出任何陈述。beplay官网客服电话本网站、通过本网站获得的任何beplay官网客服电话产品或服务(包括但不限于第三方产品和服务),以及所有此类信息、内容、文件和相关图形均由您自行承担使用风险,且“按原样”提供,不提供任何形式的保证。欧特克和/或其各自的子公司、联属公司、供应商和许可人在此放弃与本网站、此类产品和服务以及此类信息、内容、文件和相关图形有关的所有保证和条件,包括关于适销性、适合特定用途、标题和不侵权的所有默示保证和条件。beplay官网客服电话
©2021,Autodesk, Inc.