Autodesk ID: ADSK-SA-2022-0007
产品,服务,组件:Autodesk®AutoCAD®,Advance Steel和Civil 3D®
影响:越界读、越界写、写什么地方的条件
严重程度:高
原始发布:2/28/2022
最后修订:3/28/2022
欧特克信任中心
安全咨询
警告用于传达与欧特克®产品和服务识别的漏洞相关的信息。beplay官网客服电话这包括适用于受影响产品的任何修复程序或变通方法。
Autodesk®AutoCAD®桌面软件中的PDF和DWG漏洞
严重程度 |
CVSS 3.0分数 |
影响 |
|---|---|---|
低 |
0.1 - 3.9 |
一种漏洞,其利用范围和影响受到限制,且利用能力极其困难。 |
媒介 |
4.0 - 6.9 |
由于难以利用、默认配置或易于识别等因素而减轻利用的漏洞。 |
高 |
7.0 - 8.9 |
漏洞一旦被利用,将直接影响用户数据或处理资源的机密性、完整性或可用性。 |
至关重要的 |
9.0 - 10 |
一个漏洞,如果被利用,将允许远程执行恶意代码而无需用户操作。 |
总结
使用某些欧特克产品的应用程序和服务受到越界读取、越界写入、不受信任的指针解引用和内存损坏漏洞的影响。beplay官网客服电话利用这些漏洞可能导致任意执行代码。
描述
漏洞详细信息如下:
1)cve - 2022 - 27523Autodesk TrueView 2022中的缓冲区过读可能会导致敏感信息暴露或通过使用恶意制作的DWG文件作为输入导致崩溃。此漏洞与其他漏洞一起可能导致在当前流程上下文中执行代码。
2)cve - 2022 - 27524-在Autodesk TrueView 2022中利用越界读取可能会通过使用恶意制作的DWG文件作为输入导致敏感信息暴露或崩溃。此漏洞与其他漏洞一起可能导致在当前流程上下文中执行代码。
3)cve - 2021 - 27041恶意编写的DWG文件可以用来在解析DWG文件时写超出分配的缓冲区。可以利用此漏洞执行任意代码
4)cve - 2021 - 27042恶意编写的DWG文件可以用来在解析DWG文件时写超出分配的缓冲区。此漏洞的存在是因为应用程序无法处理精心制作的DWG文件,这会导致未处理的异常。攻击者可以利用此漏洞执行任意代码。
5)cve - 2021 - 27043- Autodesk DWG应用程序中的任意地址写入问题可以允许恶意用户利用应用程序在意外路径上写入。为了利用这一点,攻击者需要受害者在应用程序中启用整页堆。
6)cve - 2022 - 25797Autodesk TrueView 2022和2021中的内存破坏漏洞可能会通过恶意制作的DWG文件导致远程代码执行。
7)cve - 2022 - 25795-在Autodesk AutoCAD 2022、2021、2020、2019中恶意制作的PDF文件可用于在解析PDF文件时解除对超出分配缓冲区的写入的引用。存在此漏洞是因为应用程序无法处理精心制作的PDF文件,这将导致未处理的异常。
受影响的产品beplay官网客服电话
项 |
影响版本 |
减轻版本* * |
更新源 |
|---|---|---|---|
AutoCAD® |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®体系结构 |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®电 |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®Map 3D |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®机械 |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®议员 |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®Plant 3D |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®LT |
2022、2021、2020、2019 |
2022.1.2、2021.1.2、2020.1.5、2019.1.4 |
Autodesk桌面应用程序,或账户门户 |
Autodesk®Civil 3D® |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®Advance Steel |
2022、2021、2020、2019 |
2022.1.2, 2021.1.2, 2020.1.5, 2019.1.4*** |
Autodesk桌面应用程序,或账户门户 |
AutoCAD®for Mac |
2022、2021、2020 |
2022.2.2, 2021.2.2, 2020.3.2 |
|
AutoCAD®Mac LT |
2022、2021、2020 |
2022.2.2, 2021.2.2, 2020.3.2 |
|
DWGTMTrueView |
2022、2021、2020、2019 |
2022.1.2、2021.1.2、2020.1.5、2019.1.4 |
*注:产品列表表内容可能会有所变动。
**注意:在本表所列版本之后发布的AutoCAD和AutoCAD LT更新将自动包括以前发布的所有安全修复程序。
***注意:Autodesk Advance Steel、Autodesk Civil 3D和AutoCAD专用工具集的用户需要安装上面列出的AutoCAD产品更新或较新的产品版本。这些安全修复程序不包含在特定于个别工具集的更新中。
建议
欧特克强烈建议,使用上表中列出的2019、2020、2021和2022版本Autodesk®Advance Steel、Autodesk®Civil 3D®、AutoCAD®、AutoCAD®LT和基于AutoCAD的专用工具集的用户,应通过欧特克桌面应用程序或应用程序安装最新的AutoCAD®或AutoCAD LT 2019-2022更新(视情况而定)账户门户.
32位的AutoCAD 2019无法更新。使用此版本的客户应计划尽快升级到64位AutoCAD 2019或更新的AutoCAD版本,以避免停机和潜在的安全漏洞。使用以前版本的客户如果不再有资格获得全面支持,应计划尽快升级到受支持的版本,以避免停机和潜在的安全漏洞。参观Autodesk知识网络有关以前版本支持的详细信息。
确认
我们感谢以下人员报告相关漏洞,并与欧特克合作帮助保护我们的客户:
- Michael DePlante (@izobashi)来自趋势科技的零日计划,报告CVE-2021-27040和CVE-2021-27041。
- Fortinet的FortiGuard实验室的Yonghui Han报告了CVE-2021-27040, CVE-2021-27042和CVE-2021-27043, CVE-2022-27523, CVE-2022-27524。
- Fortinet的FortiGuard实验室的Kushal Arvind Shah报告了CVE-2021-27043, CVE-2022-25797
- 趋势科技零日计划的Mat Powell报告CVE-2021-27040、CVE-2021-27042、CVE-2021-27043、CVE-2021- 40160、CVE-2022-25795
相关信息
有关安全警告的更多资料,请参阅欧特克信任中心.
修订历史
修订 |
日期 |
描述 |
|---|---|---|
1.0 |
2/28/2022 |
首次发布安全咨询 |
1.1 |
3/28/2022 |
更新到产品信息的安全咨询 |
免责声明
本文件中的信息是“按现状”提供的与autodesk®产品有关的信息。beplay官网客服电话欧特克和/或其各自的子公司、关联公司、供应商和许可人及其及其董事、高级职员、员工、代理和代表不对网站、网站上包含的任何产品和服务,或为任何目的在本网站上发布的材料、信息、内容、文件和相关图形中包含的信息的适用性作出任何陈述。beplay官网客服电话本网站、通过本网站获得的任何beplay官网客服电话产品或服务(包括但不限于第三方产品和服务),以及所有此类信息、内容、文件和相关图形均由您自行承担使用风险,且“按原样”提供,不提供任何形式的保证。欧特克和/或其各自的子公司、联属公司、供应商和许可人在此放弃与本网站、此类产品和服务以及此类信息、内容、文件和相关图形有关的所有保证和条件,包括关于适销性、适合特定用途、标题和不侵权的所有默示保证和条件。beplay官网客服电话
©2022,Autodesk, Inc.
