Vulnérabilité liée à la gestion inadéquate des entrées dans 7-Zip

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/088

Date de l’alerte : 13/12/2024

APERÇU :

Une vulnérabilité liée à la gestion inadéquate des entrées dans les processus de décompression de 7-Zip permettrait à un acteur malveillant d’exécuter du code arbitraire dans les systèmes affectés. 
 

DESCRIPTION :

7-Zip est un logiciel d’archivage de fichiers open-source qui permet de compresser et de décompresser des fichiers.  

Cet logiciel est affecté par une vulnérabilité libellée CVE-2024-11477. Cette vulnérabilité découle d’une mauvaise gestion des entrées dans la fonction de décompression Zstandard, utilisée par 7-Zip. Lorsqu’un fichier spécialement conçu est traité, un sous-dépassement d’entier (integer underflow) se produit et permettrait d’écrire dans les emplacements mémoire non contrôlés. 

Cette faille permettrait à un acteur malveillant d’exécuter du code arbitraire dans le système  affecté et conduirait  à un accès non autorisé aux données  du système.  

Cette vulnérabilité est classée élevée  avec un score de sévérité de 7.8  selon le CVSS :3.1. 

IMPACT :

  • Atteinte à la confidentialité ; 
  • Accès non autorisé aux données ; 
  • Atteinte à l’intégrité des données. 

  SYSTÈMES AFFECTÉS : 

Les versions de 7-Zip antérieures à 24.07 

MESURES À PRENDRE :

Mettre à jour 7-Zip vers la version 24.07 ou supérieure 

 RÉFÉRENCES :

  • https://www.cert.europa.eu/publications/security-advisories/2024-118/ 
  • https://nvd.nist.gov/vuln/detail/CVE-2024-11477 
  • https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-052/ 
  • https://www.cve.org/CVERecord?id=CVE-2024-11477 
Partagez sur vos réseaux.