CRITICAL✓ PATCH🇬🇧 English

CVE-2024-32615

HDF5 Library: heap-based buffer overflow w dekompresji nbit

CVSS 9.8v3.1pub. 2024-05-14upd. 2025-04-18

Biblioteka HDF5 w wersjach do 1.14.3 zawiera podatność typu heap-based buffer overflow w funkcji H5Z__nbit_decompress_one_byte w pliku H5Znbit.c. Luka posiada ocenę CVSS 9.8 i może prowadzić do przejęcia kontroli nad systemem bez konieczności uwierzytelniania.

Pokaż oryginał (EN)

HDF5 Library through 1.14.3 contains a heap-based buffer overflow in H5Z__nbit_decompress_one_byte in H5Znbit.c, caused by the earlier use of an initialized pointer.

🤖 Analiza AI
Jak działa

Podatność wynika z użycia wcześniej zainicjalizowanego wskaźnika (initialized pointer) w funkcji odpowiedzialnej za dekompresję danych z filtrem nbit. Prowadzi to do zapisu danych poza granicami przydzielonego obszaru sterty (heap-based buffer overflow, CWE-787). Atakujący może dostarczyć specjalnie spreparowany plik HDF5, którego przetworzenie przez podatną bibliotekę wyzwoli błąd przepełnienia bufora.

Skutki

Udana eksploitacja może umożliwić atakującemu wykonanie dowolnego kodu (RCE) w kontekście procesu przetwarzającego plik HDF5, a także naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować bibliotekę HDF5 do wersji 1.14.4 lub nowszej, w której podatność została usunięta przez producenta. Szczegóły dostępne pod adresem: https://www.hdfgroup.org/2024/05/new-hdf5-cve-issues-fixed-in-1-14-4/

Kogo dotyczy

HDF5 Library w wersjach do 1.14.3 włącznie (Hdfgroup HDF5 through 1.14.3)

Uwagi

Producent (HDFGroup) opublikował zbiorcze informacje o naprawionych podatnościach CVE w wersji 1.14.4. Lista CVE dostępna w repozytorium: https://github.com/HDFGroup/cve_hdf5/blob/main/CVE_list.md

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hdfgroup Hdf5

    APP
    Hdfgroup
    < 1.14.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2024-32608CRITICAL9.8PL ✓ten sam produkt

Podatność RCE/DoS w bibliotece HDF5 — uszkodzenie pamięci w H5A__close

CVE-2024-29164CRITICAL9.8PL ✓ten sam produkt

Stack buffer overflow w HDF5 — RCE lub DoS przez uszkodzenie wskaźnika instrukcji

CVE-2024-29157CRITICAL9.8PL ✓ten sam produkt

HDF5: heap buffer overflow w H5HG_read umożliwiający RCE lub DoS

CVE-2024-29159CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w HDF5 H5Z__filter_scaleoffset – RCE lub DoS

CVE-2024-32611CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: użycie niezainicjowanej wartości w H5A__attr_release_table

CVE-2024-32615 — HDF5 Library: heap-based buffer overflow w dekompresji nbit — CRITICAL 9.8 | CVEbaza.pl