CRITICAL🇬🇧 English

CVE-2024-21646

RCE w bibliotece Azure uAMQP-C przez integer overflow

CVSS 9.8v3.1pub. 2024-01-09upd. 2024-11-21

Biblioteka Azure uAMQP-C zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) podczas przetwarzania spreparowanych danych binarnych protokołu AMQP 1.0. Podatność jest krytyczna — atakujący nieuwierzytelniony sieciowo może przejąć kontrolę nad systemem bez żadnej interakcji użytkownika.

Pokaż oryginał (EN)

Azure uAMQP is a general purpose C library for AMQP 1.0. The UAMQP library is used by several clients to implement AMQP protocol communication. When clients using this library receive a crafted binary type data, an integer overflow or wraparound or memory safety issue can occur and may cause remote code execution. This vulnerability has been patched in release 2024-01-01.

🤖 Analiza AI
Jak działa

Gdy klient korzystający z biblioteki uAMQP-C odbiera spreparowane dane binarne określonego typu, dochodzi do przepełnienia lub zawinięcia liczby całkowitej (integer overflow/wraparound), co prowadzi do naruszenia bezpieczeństwa pamięci. Błąd wynika z nieprawidłowej walidacji danych wejściowych przy dekodowaniu wiadomości AMQP (CWE-190, CWE-94). Konsekwencją jest możliwość wykonania dowolnego kodu w kontekście procesu obsługującego połączenie AMQP.

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym systemem poprzez zdalne wykonanie dowolnego kodu (RCE), co zagraża poufności, integralności i dostępności danych oraz usług.

Mitygacja

Należy zaktualizować bibliotekę azure-uamqp-c do wersji wydanej 2024-01-01 (commit 12ddb3a31a5a97f55b06fa5d74c59a1d84ad78fe). Dotyczy to również wszystkich produktów i aplikacji pośrednio wykorzystujących tę bibliotekę — należy sprawdzić zależności i zaktualizować je do wersji zawierających poprawkę.

Kogo dotyczy

Biblioteka Azure uAMQP-C (azure-uamqp-c) oraz wszystkie aplikacje i klienty korzystające z tej biblioteki do komunikacji AMQP — wersje sprzed wydania z dnia 2024-01-01.

Uwagi

Patch został udostępniony w repozytorium GitHub projektu azure-uamqp-c w dniu 2024-01-01, a CVE opublikowano 2024-01-09. Podatność może pośrednio dotyczyć wielu produktów ekosystemu Azure oraz aplikacji IoT używających protokołu AMQP za pośrednictwem tej biblioteki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Microsoft Azure Uamqp

    APP
    Microsoft
    < 2024-01-01
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-27099CRITICAL9.8PL ✓ten sam produkt

Double free w bibliotece uAMQP-C prowadzący do RCE w Azure

CVE-2024-25110CRITICAL9.8PL ✓ten sam produkt

Use-after-free w Microsoft Azure UAMQP-C umożliwiający zdalny RCE

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE w Windows Server Update Service (WSUS) — deserializacja danych