Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05151: Уязвимость инструмента для просмотра 3D JT JT2Go, системы управления жизненным циклом продукции Teamcenter Visualization и набора инструментов для проектирования, связанная с возможностью записи за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость инструмента для просмотра 3D JT JT2Go, системы управления жизненным циклом продукции Teamcenter Visualization связана с возможностью записи за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем внедрения специально сформированного TIFF-файла
Вендор	Siemens AG
Наименование ПО	JT2Go, Teamcenter Visualization
Версия ПО	до 14.2.0.5 (JT2Go) до 13.2.0.14 (Teamcenter Visualization) до 14.1.0.10 (Teamcenter Visualization) от 14.2 до 14.2.0.5 (Teamcenter Visualization)
Тип ПО	Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	08.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - ограничить возможность открытия файлов из недоверенных источников; - использования замкнутой программной среды для проверки загружаемых файлов, полученных из недоверенных источников; - использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников. Использование рекомендаций производителя: https://cert-portal.siemens.com/productcert/pdf/ssa-131450.pdf
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cert-portal.siemens.com/productcert/pdf/ssa-131450.pdf
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-38683 SSA: SSA-131450
Прочая информация	Данные уточняются

Последние изменения