JVNVU#92291213
Open Design Alliance 製 Drawings SDK における複数の脆弱性

Open Design Alliance が提供する Drawings SDK には、複数の脆弱性が存在します。

CVE-2021-25173, CVE-2021-25174

• Drawings SDK バージョン 2021.12 より前のすべてのバージョン

• Drawings SDK バージョン 2021.11 より前のすべてのバージョン

• Drawings SDK バージョン 2021.6 より前のすべてのバージョン

Open Design Alliance が提供する Drawings SDK は、製図用ソフトウェア開発キットです。
当該製品には、次の複数の脆弱性が存在します。

• スタックベースのバッファオーバーフロー (CWE-121) - CVE-2021-25178

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 型の取り違え (CWE-843) - CVE-2021-25177

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 信頼できないポインタ参照 (CWE-822) - CVE-2021-25176

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 不正な型変換またはキャスト (CWE-704) - CVE-2021-25175

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 過剰なサイズのメモリ領域確保 (CWE-789) - CVE-2021-25174

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 過剰なサイズのメモリ領域確保 (CWE-789) - CVE-2021-25173

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• 想定されたメモリ領域を超えた範囲への書き込み (CWE-787) - CVE-2021-31784

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

想定される影響は各脆弱性により異なりますが、第三者によって、次のような影響を受ける可能性があります。

• 細工された DXF および DWG ファイルを処理した場合、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする - CVE-2021-25178
• 細工された DXF および DWG ファイルをレンダリングした場合、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする - CVE-2021-25175, CVE-2021-25176, CVE-2021-25177
• 細工された DGN ファイルを読み込んだ場合、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする - CVE-2021-25173, CVE-2021-25174
• 細工されたファイルを読み込んだ場合、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする - CVE-2021-31784

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は Drawings SDK バージョン 2021.12 以降のバージョンにアップデートすることを推奨しています。