-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [28-11-2024] Vulnerabilidade Crítica no 7-Zip

Prezados(as),

O CAIS alerta a comunidade de segurança cibernética sobre uma vulnerabilidade crítica no 7-Zip, possui uma pontuação CVSSv3 de 7.8.
	
O 7-Zip é um software gratuito e de código aberto que permite compactar e descompactar arquivos em vários formatos.

1) Produtos e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Sistemas e versões afetadas:

7-Zip v. <= 24.06

2) Identificadores CVE:

CVE-2024-11477

3) Descrição da vulnerabilidade;

É uma vulnerabilidade de estouro de inteiro (integer underflow) na implementação da descompressão Zstandard do 7-Zip. Esta falha resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode levar a um estouro de inteiro antes da escrita na memória.

4) Mitigação e correções disponíveis:
A principal medida de mitigação é atualizar o 7-Zip para a versão mais recente.

Passos para Atualização:
Desinstale a versão atual do 7-Zip
Baixe a versão mais recente do site oficial do 7-Zip (7-Zip 24.07)
Instale a nova versão
Verifique se a instalação foi bem-sucedida

5) Mais informações:
https://nvd.nist.gov/vuln/detail/CVE-2024-11477
https://www.suse.com/security/cve/CVE-2024-11477.html
https://www.heise.de/en/news/7-Zip-flaw-enables-code-smuggling-with-manipulated-archives-10083922.html
https://www.tenable.com/plugins/pipeline/issues/180951
https://www.zerodayinitiative.com/advisories/ZDI-24-1532/

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, conforme as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados nas redes sociais da RNP. Siga-nos!

Twitter: @caisRNP
Facebook: Rede Nacional de Ensino e Pesquisa RNP
################################################################

CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANÇA (CAIS)
Rede Nacional de Ensino e Pesquisa (RNP)
cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais
Tel. 019-37873300 Fax. 019-37873301
Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key
################################################################
-----BEGIN PGP SIGNATURE-----
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=lyHm
-----END PGP SIGNATURE-----