Origine : bjCSIRT
Numéro : 2024/ALERTE/088
Date de l’alerte : 13/12/2024
APERÇU :
Une vulnérabilité liée à la gestion inadéquate des entrées dans les processus de décompression de 7-Zip permettrait à un acteur malveillant d’exécuter du code arbitraire dans les systèmes affectés.
DESCRIPTION :
7-Zip est un logiciel d’archivage de fichiers open-source qui permet de compresser et de décompresser des fichiers.
Cet logiciel est affecté par une vulnérabilité libellée CVE-2024-11477. Cette vulnérabilité découle d’une mauvaise gestion des entrées dans la fonction de décompression Zstandard, utilisée par 7-Zip. Lorsqu’un fichier spécialement conçu est traité, un sous-dépassement d’entier (integer underflow) se produit et permettrait d’écrire dans les emplacements mémoire non contrôlés.
Cette faille permettrait à un acteur malveillant d’exécuter du code arbitraire dans le système affecté et conduirait à un accès non autorisé aux données du système.
Cette vulnérabilité est classée élevée avec un score de sévérité de 7.8 selon le CVSS :3.1.
IMPACT :
- Atteinte à la confidentialité ;
- Accès non autorisé aux données ;
- Atteinte à l’intégrité des données.
SYSTÈMES AFFECTÉS :
Les versions de 7-Zip antérieures à 24.07
MESURES À PRENDRE :
Mettre à jour 7-Zip vers la version 24.07 ou supérieure
RÉFÉRENCES :
- https://www.cert.europa.eu/publications/security-advisories/2024-118/
- https://nvd.nist.gov/vuln/detail/CVE-2024-11477
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-052/
- https://www.cve.org/CVERecord?id=CVE-2024-11477