CRITICAL✓ PATCH🇬🇧 English

CVE-2024-32608

Podatność RCE/DoS w bibliotece HDF5 — uszkodzenie pamięci w H5A__close

CVSS 9.8v3.1pub. 2024-10-09upd. 2025-03-25

Biblioteka HDF5 w wersji do 1.14.3 zawiera podatność powodującą uszkodzenie pamięci (memory corruption) w funkcji H5A__close, co prowadzi do nadpisania wskaźnika instrukcji. Konsekwencją może być odmowa usługi (DoS) lub zdalne wykonanie kodu (RCE).

Pokaż oryginał (EN)

HDF5 library through 1.14.3 has memory corruption in H5A__close resulting in the corruption of the instruction pointer and causing denial of service or potential code execution.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-787 (out-of-bounds write) polega na nieprawidłowym zarządzaniu pamięcią podczas zamykania atrybutu HDF5 w funkcji H5A__close. Błędna operacja zapisu poza przydzielonym obszarem pamięci prowadzi do uszkodzenia wskaźnika instrukcji (instruction pointer). Atakujący może spreparować złośliwy plik HDF5, którego przetworzenie przez podatną bibliotekę wyzwoli ten błąd.

Skutki

Atakujący może doprowadzić do awarii aplikacji korzystającej z biblioteki HDF5 (DoS) lub, w sprzyjających okolicznościach, do wykonania dowolnego kodu w kontekście procesu przetwarzającego plik (RCE). Wysoki wynik CVSS 9.8 wskazuje na pełne zagrożenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować bibliotekę HDF5 do wersji 1.14.4 lub nowszej, w której podatność została usunięta przez producenta. Szczegóły dostępne pod adresem: https://www.hdfgroup.org/2024/05/new-hdf5-cve-issues-fixed-in-1-14-4/

Kogo dotyczy

Biblioteka HDF5 (HDF Group) w wersjach do 1.14.3 włącznie.

Uwagi

Podatność została naprawiona w wersji 1.14.4 — informacja potwierdzona przez producenta (HDF Group) w opublikowanym komunikacie bezpieczeństwa.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hdfgroup Hdf5

    APP
    Hdfgroup
    < 1.14.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2024-29164CRITICAL9.8PL ✓ten sam produkt

Stack buffer overflow w HDF5 — RCE lub DoS przez uszkodzenie wskaźnika instrukcji

CVE-2024-32611CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: użycie niezainicjowanej wartości w H5A__attr_release_table

CVE-2024-29157CRITICAL9.8PL ✓ten sam produkt

HDF5: heap buffer overflow w H5HG_read umożliwiający RCE lub DoS

CVE-2024-29159CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w HDF5 H5Z__filter_scaleoffset – RCE lub DoS

CVE-2024-32615CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: heap-based buffer overflow w dekompresji nbit

CVE-2024-32608 — Podatność RCE/DoS w bibliotece HDF5 — uszkodzenie pamięci w H5A__close — CRITICAL 9.8 | CVEbaza.pl