CERTA-2005-AVI-393
Vulnerability from certfr_avis - Published: 2005-10-11 - Updated: 2005-11-21
Deux vulnérabilités dans WinRAR permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
Deux vulnérabilités sont présentes dans WinRAR :
- une erreur dans la mise en œuvre de l'affichage de la fenêtre de diagnostic lors d'un décodage de fichier au format UUE ou XXE permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un fichier encodé en UUE ou en XXE malicieusement construit ;
- une erreur dans la mise en œuvre de la décompression des fichiers de type ACE permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un fichier ACE malicieusement constitué.
Solution
Mettre à jour WinRAR en version 3.51 :
http://www.rarlabs.com/download.htm
WinRAR versions 3.50 et antérieures.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eWinRAR versions 3.50 et ant\u00e9rieures.\u003c/p\u003e",
"content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans WinRAR :\n\n- une erreur dans la mise en \u0153uvre de l\u0027affichage de la fen\u00eatre de\n diagnostic lors d\u0027un d\u00e9codage de fichier au format UUE ou XXE permet\n \u00e0 un utilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code\n arbitraire par le biais d\u0027un fichier encod\u00e9 en UUE ou en XXE\n malicieusement construit ;\n- une erreur dans la mise en \u0153uvre de la d\u00e9compression des fichiers de\n type ACE permet \u00e0 un utilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter\n du code arbitraire par le biais d\u0027un fichier ACE malicieusement\n constitu\u00e9.\n\n## Solution\n\nMettre \u00e0 jour WinRAR en version 3.51 :\n\n http://www.rarlabs.com/download.htm\n",
"cves": [],
"initial_release_date": "2005-10-11T00:00:00",
"last_revision_date": "2005-11-21T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200511-10 du 13 novembre 2005 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200511-10.xml"
},
{
"title": "Liste des changements dans la version 3.51 :",
"url": "http://www.rarlabs.com/rarnew.htm"
},
{
"title": "Site de l\u0027\u00e9diteur :",
"url": "http://www.rarlabs.com"
}
],
"reference": "CERTA-2005-AVI-393",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2005-10-11T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo.",
"revision_date": "2005-11-21T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
}
],
"summary": "Deux vuln\u00e9rabilit\u00e9s dans WinRAR permettent \u00e0 un utilisateur distant mal\nintentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s de WinRAR",
"vendor_advisories": [
{
"published_at": null,
"title": "Liste des changements dans WinRAR 3.51",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…