CERTA-2005-AVI-393
Vulnerability from certfr_avis
Deux vulnérabilités dans WinRAR permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
Deux vulnérabilités sont présentes dans WinRAR :
- une erreur dans la mise en œuvre de l'affichage de la fenêtre de diagnostic lors d'un décodage de fichier au format UUE ou XXE permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un fichier encodé en UUE ou en XXE malicieusement construit ;
- une erreur dans la mise en œuvre de la décompression des fichiers de type ACE permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un fichier ACE malicieusement constitué.
Solution
Mettre à jour WinRAR en version 3.51 :
http://www.rarlabs.com/download.htm
WinRAR versions 3.50 et antérieures.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eWinRAR versions 3.50 et ant\u00e9rieures.\u003c/p\u003e",
"content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans WinRAR :\n\n- une erreur dans la mise en \u0153uvre de l\u0027affichage de la fen\u00eatre de\n diagnostic lors d\u0027un d\u00e9codage de fichier au format UUE ou XXE permet\n \u00e0 un utilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code\n arbitraire par le biais d\u0027un fichier encod\u00e9 en UUE ou en XXE\n malicieusement construit ;\n- une erreur dans la mise en \u0153uvre de la d\u00e9compression des fichiers de\n type ACE permet \u00e0 un utilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter\n du code arbitraire par le biais d\u0027un fichier ACE malicieusement\n constitu\u00e9.\n\n## Solution\n\nMettre \u00e0 jour WinRAR en version 3.51 :\n\n http://www.rarlabs.com/download.htm\n",
"cves": [],
"initial_release_date": "2005-10-11T00:00:00",
"last_revision_date": "2005-11-21T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200511-10 du 13 novembre 2005 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200511-10.xml"
},
{
"title": "Liste des changements dans la version 3.51 :",
"url": "http://www.rarlabs.com/rarnew.htm"
},
{
"title": "Site de l\u0027\u00e9diteur :",
"url": "http://www.rarlabs.com"
}
],
"reference": "CERTA-2005-AVI-393",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2005-10-11T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo.",
"revision_date": "2005-11-21T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Deux vuln\u00e9rabilit\u00e9s dans WinRAR permettent \u00e0 un utilisateur distant mal\nintentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s de WinRAR",
"vendor_advisories": [
{
"published_at": null,
"title": "Liste des changements dans WinRAR 3.51",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…