CERTA-2004-AVI-349

Vulnerability from certfr_avis - Published: 2004-10-21 - Updated: 2004-10-21

Une vulnérabilité présente lors du traitement des fichiers au format zip par les antivirus permet à un utilisateur mal intentionné de contourner la protection apportée par ces antivirus.

Description

L'information sur les fichiers compressés à l'intérieur d'un fichier au format zip est stockée dans un en-tête local (créé avant la compression de chaque fichier) et un en-tête global (créé après la compression de tous les fichiers).

Un utilisateur mal intentionné peut changer la taille des fichiers à l'intérieur des entêtes local et global afin de contourner la protection antivirale apportée par l'antivirus.

Contournement provisoire

Filtrer les messages contenant une pièce jointe au format zip.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Pour l'antivirus NOD32 la vulnérabilité a été corrigée dans la version 1.020 du module archive-support disponible lors de la mise à jour des signatures de virus.

Plusieurs antivirus sont affectés par cette vulnérabilité :

  • eTrsut antivirus
  • Kaspersky antivirus ;
  • Sophos antivirus ;
  • McAfee ;
  • NOD32 ;
  • RAV antivirus.

Pour plus de détails sur les versions des systèmes affectées, se référer au bulletin de sécurité de l'éditeur (cf. section Documentation).

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003ePlusieurs antivirus sont affect\u00e9s par  cette vuln\u00e9rabilit\u00e9 :  \u003cUL\u003e    \u003cLI\u003eeTrsut antivirus\u003c/LI\u003e    \u003cLI\u003eKaspersky antivirus ;\u003c/LI\u003e    \u003cLI\u003eSophos antivirus ;\u003c/LI\u003e    \u003cLI\u003eMcAfee ;\u003c/LI\u003e    \u003cLI\u003eNOD32 ;\u003c/LI\u003e    \u003cLI\u003eRAV antivirus.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003ePour plus de d\u00e9tails sur les versions des syst\u00e8mes affect\u00e9es,  se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur (cf. section  Documentation).\u003c/P\u003e\u003c/p\u003e",
  "content": "## Description\n\nL\u0027information sur les fichiers compress\u00e9s \u00e0 l\u0027int\u00e9rieur d\u0027un fichier au\nformat zip est stock\u00e9e dans un en-t\u00eate local (cr\u00e9\u00e9 avant la compression\nde chaque fichier) et un en-t\u00eate global (cr\u00e9\u00e9 apr\u00e8s la compression de\ntous les fichiers).\n\nUn utilisateur mal intentionn\u00e9 peut changer la taille des fichiers \u00e0\nl\u0027int\u00e9rieur des ent\u00eates local et global afin de contourner la protection\nantivirale apport\u00e9e par l\u0027antivirus.\n\n## Contournement provisoire\n\nFiltrer les messages contenant une pi\u00e8ce jointe au format zip.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\nPour l\u0027antivirus NOD32 la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e dans la version\n1.020 du module archive-support disponible lors de la mise \u00e0 jour des\nsignatures de virus.\n",
  "cves": [],
  "initial_release_date": "2004-10-21T00:00:00",
  "last_revision_date": "2004-10-21T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Sophos du 19 octobre 2004 :",
      "url": "http://sophos.com/support/knowledgebase/article/2074.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Computer Associates :",
      "url": "http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mcafee (Utilisateur) :",
      "url": "http://download.mcafee.com/uk/updates/updates.asp"
    },
    {
      "title": "Bulletin de s\u00e9cuit\u00e9 Mcafee (Entreprise) :",
      "url": "http://www.mcafeesecurity.com/uk/downloads/updates/dat.asp?id=1"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de iDefense du 18 octobre 2004 :",
      "url": "http://www.idefense.com/application/poi/display?id=153\u0026type=vulnerabilities"
    }
  ],
  "reference": "CERTA-2004-AVI-349",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-10-21T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la protection antivirale"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente lors du traitement des fichiers au format zip\npar les antivirus permet \u00e0 un utilisateur mal intentionn\u00e9 de contourner\nla protection apport\u00e9e par ces antivirus.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans plusieurs antivirus",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 iDefense 10.18.04",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.