Autodesk ID: ADSK-SA-2022-0005
产品,服务,组件:Autodesk®AutoCAD®,Advance Steel and Civil 3D, Navisworks®
影响:释放后使用,越界写入,基于堆栈的缓冲区,内存损坏,缓冲区溢出,双释放
严重程度:高
原始发布:2/28/2022
最后修订:8/30/2022
Autodesk信任中心
安全咨询
警告用于传达与Autodesk®产品和服务识别的漏洞相关的信息。beplay官网客服电话这包括适用于受影响产品的任何修复程序或工作区。
Autodesk®AutoCAD®和Navisworks®桌面软件中的DWF/DWFX漏洞
严重程度 |
CVSS 3.0评分 |
影响 |
|---|---|---|
低 |
0.1 - 3.9 |
一种利用范围和影响受到限制,利用能力极其困难的漏洞。 |
媒介 |
4.0 - 6.9 |
一种由于难以利用、默认配置或易于识别等因素而减轻利用的漏洞。 |
高 |
7.0 - 8.9 |
漏洞一旦被利用,将直接影响用户数据或处理资源的保密性、完整性或可用性。 |
至关重要的 |
9.0 - 10 |
一个漏洞,如果被利用,将允许远程执行恶意代码而不需要用户操作。 |
总结
多个Autodesk产品受到释放后使beplay官网客服电话用、越域写入、基于堆栈的缓冲区、内存损坏和缓冲区溢出漏洞的影响。
描述
漏洞详细信息如下:
1)cve - 2022 - 25789-恶意制作的Autodesk AutoCAD 2022、2021、2020、2019中的DWF、3DS和DWFX文件可用于触发释放后使用漏洞。利用此漏洞可能导致代码执行。
2)C- 2022 - 25790-在Autodesk AutoCAD 2022、2021、2020、2019和Autodesk Navisworks 2022、2020和2019中恶意制作的DWF文件可用于在解析DWF文件时超出分配的边界进行写入。利用此漏洞可能导致代码执行。
3)cve - 2022 - 25791-针对Autodesk AutoCAD 2022, 2021, 2020, 2019和Autodesk Navisworks 2022, 2020, 2019中的DWF和DWFX文件的内存破坏漏洞可能导致通过恶意制作的DLL文件执行代码。
4)cve - 2022 - 25792- Autodesk AutoCAD 2022、2021、2020、2019和Autodesk Navisworks 2022中恶意制作的DXF文件可用于通过缓冲区溢出漏洞写入超出分配的缓冲区。可以利用此漏洞执行任意代码。
5)cve - 2022 - 25796- Double Free漏洞允许远程恶意行为者在受影响的安装中对Autodesk Navisworks 2022中的DWF文件执行任意代码。利用此漏洞需要用户交互,因为目标必须访问恶意页面或打开恶意文件。
6)cve - 2022 - 27528- Autodesk Navisworks 2023、2022、2021、2020和2019中恶意制作的DWFX和SKP文件可用于触发释放后使用漏洞。利用此漏洞可能导致代码执行
7)cve - 2022 - 27868- Autodesk AutoCAD 2023中恶意制作的CAT文件可用于触发释放后使用漏洞。利用此漏洞可能导致代码执行。
受影响的产品beplay官网客服电话
项 |
影响版本 |
减轻版本 |
更新源 |
|---|---|---|---|
Autodesk®Navisworks® |
2023、2022、2021、2020、2019 |
2023.1、2022.2、2021.5、2020.5、2019.7 |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Architecture |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®电气 |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Map 3D |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Mechanical |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®MEP |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Plant 3D |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®LT |
2023、2022、2021、2020、2019 |
2023.0.1, 2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4 |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Mac |
2022 |
2022.2.2 |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Mac LT |
2022 |
2022.2.2 |
Autodesk桌面应用程序,或账户门户 |
Autodesk®Civil 3D® |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
Autodesk®Advance Steel |
2023、2022、2021、2020、2019 |
2023.0.1、2022.1.2 2021.1.2、2020.1.5 2019.1.4 * * |
Autodesk桌面应用程序,或账户门户 |
*注:产品列表表内容可能会随时更改。
**注意:Autodesk Advance Steel、Autodesk Civil 3D和AutoCAD专用工具集的用户需要安装上面列出的AutoCAD产品更新或较新的产品版本。这些安全修复程序不包含在特定于个别工具集的更新中。
建议
欧特克强烈建议,使用上表中列出的2019、2020、2021、2022和2023版本Autodesk®Advance Steel、Autodesk®Civil 3D®、AutoCAD®、AutoCAD®LT以及基于AutoCAD的专用工具集的用户,应通过欧特克桌面应用程序或应用程序安装最新的AutoCAD®或AutoCAD LT 2022更新(视情况而定)账户门户.32位的AutoCAD 2019无法更新。使用此版本的客户应计划尽快升级到64位AutoCAD 2019或更新的AutoCAD版本,以避免停机和潜在的安全漏洞。
此外,Autodesk®Navisworks®的用户应安装最新的2022更新2,该更新可通过Autodesk桌面应用程序或应用程序获得账户门户.此版本的Autodesk®Navisworks®包含解决DWF和DWFX文件漏洞的安全更新。作为一般的最佳实践,我们还建议客户只从可信来源打开DWF或DWFX文件。
使用以前版本的客户不再有资格获得全面支持,应该计划尽快升级到受支持的版本,以避免停机和潜在的安全漏洞。参观Autodesk知识网络有关以前版本支持的详细信息。
确认
我们感谢以下人员报告相关问题,并与欧特克合作帮助保护我们的客户:
- 趋势科技零日计划的Mat Powell报告CVE-2022-25789、CVE-2022-25790、CVE-2022-25791、CVE-2022-25792、CVE-2022-25796、CVE-2022-27528
- 匿名者与趋势科技零日计划合作报告CVE-2022-25789
- Tran Van Khang - khangkito (VinCSS)与趋势科技零日计划合作,报告CVE-2022-27868
修订历史
修订 |
日期 |
描述 |
|---|---|---|
1.0 |
2/28/2022 |
安全公告的首次发布 |
1.1 |
3/31/2022 |
更新产品表中Navisworks和AutoCAD支持版本的附加安全建议 |
1.2 |
4/25/2022 |
更新产品表和CVE-2022-27868描述中关于添加到AutoCAD 2023支持版本的安全建议 |
1.3 |
4/28/2022 |
更新产品表中Navisworks 2020支持版本的安全建议 |
1.4 |
5/25/2022 |
更新产品表中Navisworks 2019支持版本的安全建议 |
1.5 |
8/30/2022 |
在CVE-2022-27528上更新了Navisworks 2023和2021年的产品表 |
免责声明
本文档中的信息是“按现状”提供的,与autodesk®产品有关。beplay官网客服电话欧特克和/或其各自的子公司、关联公司、供应商和许可人及其及其董事、高级职员、员工、代理和代表不对网站、网站上包含的任何产品和服务,或为任何目的在本网站上发布的材料、信息、内容、文件和相关图形中包含的信息的适用性作出任何陈述。beplay官网客服电话本网站、通过本网站获得的任何beplay官网客服电话产品或服务(包括但不限于第三方产品和服务),以及所有此类信息、内容、文件和相关图形均由您自行承担使用风险,且“按原样”提供,不提供任何形式的保证。欧特克和/或其各自的子公司、联属公司、供应商和许可人在此放弃与本网站、此类产品和服务以及此类信息、内容、文件和相关图形有关的所有保证和条件,包括关于适销性、适合特定用途、标题和不侵权的所有默示保证和条件。beplay官网客服电话
©2022,Autodesk, Inc.
