CERTA-2007-AVI-072
Vulnerability from certfr_avis
Une vulnérabilité dans Unrar permettrait à une personne malintentionnée d'exécuter du code arbitraire avec les privilèges de la personne ouvrant le fichier.
Description
Unrar est un outil en ligne de commande permettant de décompresser des fichiers sur Windows et Linux. Il fait partie des applications WinRAR et RAR de ces systèmes.
Une vulnérabilité de type débordement de mémoire dans Unrar permettrait à un attaquant d'exécuter du code arbitraire avec les privilèges de l'utilisateur qui tente de décompresser le fichier malveillant. Ceci est provoqué par une mauvaise interprétation de certains mots de passe.
Cette vulnérabilité ne concerne pas l'utilisation de WinRAR en mode graphique sur Windows.
Solution
Se référer au site de l'éditeur pour l'obtention des mises à jour (cf. section Documentation). La vulnérabilité est corrigée dans les versions 3.70 beta de WinRAR et RAR.
- WinRAR 3.61 sous Microsoft Windows ;
- RAR 3.60 sur Linux.
D'autres versions peuvent êtres affectées.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cUL\u003e \u003cLI\u003eWinRAR 3.61 sous Microsoft Windows ;\u003c/LI\u003e \u003cLI\u003eRAR 3.60 sur Linux.\u003c/LI\u003e \u003c/UL\u003e \u003cP\u003eD\u0027autres versions peuvent \u00eatres affect\u00e9es.\u003c/P\u003e",
"content": "## Description\n\nUnrar est un outil en ligne de commande permettant de d\u00e9compresser des\nfichiers sur Windows et Linux. Il fait partie des applications WinRAR et\nRAR de ces syst\u00e8mes.\n\nUne vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire dans Unrar permettrait\n\u00e0 un attaquant d\u0027ex\u00e9cuter du code arbitraire avec les privil\u00e8ges de\nl\u0027utilisateur qui tente de d\u00e9compresser le fichier malveillant. Ceci est\nprovoqu\u00e9 par une mauvaise interpr\u00e9tation de certains mots de passe.\n\nCette vuln\u00e9rabilit\u00e9 ne concerne pas l\u0027utilisation de WinRAR en mode\ngraphique sur Windows.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au site de l\u0027\u00e9diteur pour l\u0027obtention des mises \u00e0 jour (cf.\nsection Documentation). La vuln\u00e9rabilit\u00e9 est corrig\u00e9e dans les versions\n3.70 beta de WinRAR et RAR.\n",
"cves": [],
"initial_release_date": "2007-02-08T00:00:00",
"last_revision_date": "2007-02-08T00:00:00",
"links": [
{
"title": "Site de l\u0027\u00e9diteur :",
"url": "http://www.rarlabs.com/download.htm"
}
],
"reference": "CERTA-2007-AVI-072",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2007-02-08T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans \u003cspan class=\"textit\"\u003eUnrar\u003c/span\u003e permettrait \u00e0\nune personne malintentionn\u00e9e d\u0027ex\u00e9cuter du code arbitraire avec les\nprivil\u00e8ges de la personne ouvrant le fichier.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans WinRAR et RAR",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 iDefense du 07 f\u00e9vrier 2007",
"url": "http://www.idefense.com/application/poi/display?id=472"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.