公開日:2021/02/05 最終更新日:2021/02/05

JVNVU#93791310
複数の Luxion 製品に脆弱性

概要

Luxion 社が提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • KeyShot 10.1 より前のバージョン
  • KeyShot Viewer 10.1 より前のバージョン
  • KeyShot Network Rendering 10.1 より前のバージョン
  • KeyVR 10.1 より前のバージョン

詳細情報

Luxion 社が提供する KeyShot は、3DCAD のデータを用いて写真イメージおよびアニメーションを作成するソフトウェアです。
Luxion 社が提供する複数の製品には、次の複数の脆弱性が存在します。

  • 境界外書き込み (CWE-787) - CVE-2021-22647
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外読み取り (CWE-125) - CVE-2021-22643
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 危険な操作におけるUI上の不十分な警告 (CWE-357) - CVE-2021-22645
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 信頼性のないポインタ参照 (CWE-822) - CVE-2021-22649
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • パス・トラバーサル (CWE-22) - CVE-2021-22651
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • プロジェクトファイルを処理中に境域外書き込みが発生し、第三者によって任意のコードを実行される - CVE-2021-22647
  • プロジェクトファイルを処理中に境域外読み取りが発生し、第三者によって任意のコードを実行される - CVE-2021-22643
  • ネットワーク外の .dll ファイルを指定されている場合でも、.bip ファイルの load コマンド実行時に十分な警告が表示されないため、悪意のある  .dll ファイルが実行される - CVE-2021-22645
  • プロジェクトファイルを処理中に NULL ポインタ参照が発生し、第三者によって任意のコードを実行される - CVE-2021-22649
  • 第三者によって作成された細工したファイルが読み込まれた場合、一時ファイル抽出処理時に任意のスクリプトを自動実行フォルダに格納される - CVE-2021-22651

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ リンク
Luxion Contact Us

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-22643
CVE-2021-22645
CVE-2021-22647
CVE-2021-22649
CVE-2021-22651
JVN iPedia