公開日:2021/06/09 最終更新日:2021/06/09

JVNVU#95145431
Open Design Alliance 製 Drawings SDK における複数の脆弱性

概要

Open Design Alliance が提供する Drawings SDK には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-32946、CVE-2021-32952

  • Drawings SDK バージョン 2022.5 より前のすべてのバージョン
CVE-2021-32938、CVE-2021-32936、CVE-2021-32940、CVE-2021-32948、CVE-2021-32950、CVE-2021-32944
  • Drawings SDK バージョン 2022.4 より前のすべてのバージョン

詳細情報

Open Design Alliance が提供する Drawings SDK は、製図用ソフトウェア開発キットです。
当該製品には、次の複数の脆弱性が存在します。

  • 境界外読み取り (CWE-125) - CVE-2021-32938
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L 基本値: 4.4
  • 境界外書き込み (CWE-787) - CVE-2021-32936
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外読み取り (CWE-125) - CVE-2021-32940
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L 基本値: 4.4
  • DGN ファイルの異常または例外条件に対する不適切なチェック (CWE-754) - CVE-2021-32946
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外書き込み (CWE-787) - CVE-2021-32948
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外読み取り (CWE-125) - CVE-2021-32950
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L 基本値: 4.4
  • 境界外書き込み (CWE-787) - CVE-2021-32952
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 解放済みメモリの使用 (use-after-free) (CWE-416) - CVE-2021-32944
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 攻撃者によって細工された DWG ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、メモリから機密情報を読み取られたりする - CVE-2021-32938
  • 攻撃者によって細工された DXF ファイルをリカバリ経由で開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、コードを実行されたりする - CVE-2021-32936
  • 攻撃者によって細工された DWG ファイルをリカバリ経由で開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、メモリから機密情報を読み取られたりする - CVE-2021-32940
  • 攻撃者によって細工された DGN ファイルを読み取ることで、サービス運用妨害 (DoS) 状態が引き起こされたり、コードを実行されたりする - CVE-2021-32946、CVE-2021-32952
  • 攻撃者によって細工された DWG ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、コードを実行されたりする - CVE-2021-32948
  • 攻撃者によって細工された DXF ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、メモリから機密情報を読み取られたりする - CVE-2021-32950
  • 攻撃者によって攻撃者によって細工された DGN ファイルを開くことで、サービス運用妨害 (DoS) 状態が引き起こされたり、任意のコードを実行されたりする - CVE-2021-32944

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は Drawings SDK バージョン 2022.5 以降のバージョンにアップデートすることを推奨しています。

ベンダ情報

ベンダ リンク
Open Design Alliance Open Design Alliance (要ログイン)
ODA Security Advisories

参考情報

  1. ICS Advisory (ICSA-21-159-02)
    Open Design Alliance Drawings SDK

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia