Autodesk ID:执掌- sa - 2022 - 0021
产品、服务、组成部分:Autodesk®Design Review, Autodesk®Advance Steel, Autodesk®Civil 3D®,AutoCAD®产品beplay官网客服电话
影响:堆溢出缓冲区,内存损坏
严重程度:高
最初的发布:9/30/2022
最后修改:10/06/2022
Autodesk信任中心
安全咨询
警告用于传达与Autodesk®产品和服务识别的漏洞相关的信息。beplay官网客服电话这包括适用于受影响产品的任何修复程序或工作区。
Autodesk®Design Review、Autodesk®Advance Steel、Autodesk®Civil 3D®和AutoCAD®Desktop软件中的多个漏洞
严重程度 |
CVSS 3.0评分 |
影响 |
|---|---|---|
低 |
0.1 - 3.9 |
一种漏洞,其利用范围和影响受到限制,且利用能力极其困难。 |
媒介 |
4.0 - 6.9 |
由于难以利用、默认配置或易于识别等因素而减轻利用的漏洞。 |
高 |
7.0 - 8.9 |
漏洞一旦被利用,将直接影响用户数据或处理资源的保密性、完整性或可用性。 |
至关重要的 |
9.0 - 10 |
一个漏洞,如果被利用,将允许远程执行恶意代码而不需要用户操作。 |
总结
使用Autodesk Design Review和AutoCAD产品的应用程序和服务可能受到基于堆的溢出和内存损坏漏洞的影响。beplay官网客服电话利用这些漏洞可能导致远程代码执行。
描述
漏洞详细信息如下:
1)cve - 2022 - 33889-恶意制作的GIF或JPEG文件在通过Autodesk Design Review 2018, AutoCAD 2023, 2022, 2021和2020解析时,可以用于写入超出分配的堆缓冲区。此漏洞可能导致任意代码执行。
2)cve - 2022 - 33890-当通过DesignReview.exe应用程序使用恶意制作的PCT或DWF文件时,可能会因违反读访问而导致内存损坏漏洞。此漏洞与其他漏洞一起可能导致在当前流程上下文中执行代码。
3)cve - 2022 - 41306-当通过DesignReview.exe应用程序使用恶意制作的PCT文件时,可能会因写访问违反而导致内存损坏漏洞。此漏洞与其他漏洞一起可能导致在当前流程上下文中执行代码。
受影响的产品beplay官网客服电话
项 |
影响版本 |
减轻版本 |
更新源 |
|---|---|---|---|
Autodesk®设计评审 |
2018、2017、2013、2012、2011 |
2018年热修复7 |
|
Autodesk®AutoCAD® |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Architecture |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®电气 |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Map 3D |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Mechanical |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®MEP |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®Plant 3D |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®AutoCAD®LT |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®Civil 3D® |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
Autodesk®Advance Steel |
2023、2022、2021、2020 |
2023.1.1, 2022.1.3, 2021.1.3, 2020.1.6** |
Autodesk桌面应用程序,或账户门户 |
*注:产品列表表内容可能会随时更改。
**注意:Autodesk Advance Steel、Autodesk Civil 3D和AutoCAD专用工具集的用户需要安装上面列出的AutoCAD产品更新或较新的产品版本。这些安全修复程序不包含在特定于个别工具集的更新中。
建议
欧特克强烈建议使用欧特克设计评审2018及更早版本的用户通过Autodesk知识网络.“欧特克设计评审2013”或更早版本的客户需要按照“欧特克设计评审2013”中概述的安装说明升级到2018或更高版本Autodesk知识网络篇文章。
使用上表中列出的Autodesk®Advance Steel、Autodesk®Civil 3D®、AutoCAD®、AutoCAD®LT以及基于AutoCAD的专用工具集的2020、2021和2022版本的Autodesk用户应通过Autodesk桌面应用程序或Autodesk应用程序安装最新的AutoCAD®或AutoCAD LT 2023更新(视情况而定)账户门户.
使用以前版本的客户如果不再有资格获得全面支持,应计划尽快升级到受支持的版本,以避免停机和潜在的安全漏洞。参观Autodesk知识网络有关以前版本支持的详细信息。
确认
我们要感谢以下研究人员报告相关问题,并与Autodesk合作帮助保护我们的客户:
- Venustech的ADLab与HackerOne合作报告CVE-2022-33889
- Fortinet的FortiGuard实验室的Kushal Arvind Shah报告了CVE-2022-33890, CVE-2022-41306
修订历史
修订 |
日期 |
描述 |
|---|---|---|
1.0 |
9/22/2022 |
首次发布安全通知 |
1.1 |
10/06/2022 |
更新CVE信息、产品表和建议,以包括AutoCAD 2021和2020产品beplay官网客服电话 |
免责声明
本文档中的信息是“按现状”提供的,与autodesk®产品有关。beplay官网客服电话欧特克和/或其各自的子公司、关联公司、供应商和许可人及其及其董事、高级职员、员工、代理和代表不对网站、网站上包含的任何产品和服务,或为任何目的在本网站上发布的材料、信息、内容、文件和相关图形中包含的信息的适用性作出任何陈述。beplay官网客服电话本网站、通过本网站获得的任何beplay官网客服电话产品或服务(包括但不限于第三方产品和服务),以及所有此类信息、内容、文件和相关图形均由您自行承担使用风险,且“按原样”提供,不提供任何形式的保证。欧特克和/或其各自的子公司、联属公司、供应商和许可人在此放弃与本网站、此类产品和服务以及此类信息、内容、文件和相关图形有关的所有保证和条件,包括关于适销性、适合特定用途、标题和不侵权的所有默示保证和条件。beplay官网客服电话
©2022,Autodesk, Inc.
