CRITICAL✓ PATCH🇬🇧 English

CVE-2024-29157

HDF5: heap buffer overflow w H5HG_read umożliwiający RCE lub DoS

CVSS 9.8v3.1pub. 2024-05-14upd. 2025-04-18

Biblioteka HDF5 w wersjach do 1.14.3 zawiera podatność typu heap buffer overflow w funkcji H5HG_read, która może prowadzić do wykonania arbitralnego kodu lub odmowy dostępu do usługi. Wysoki wynik CVSS 9.8 oraz brak wymagań dotyczących uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

HDF5 through 1.14.3 contains a heap buffer overflow in H5HG_read, resulting in the corruption of the instruction pointer and causing denial of service or potential code execution.

🤖 Analiza AI
Jak działa

Błąd klasy CWE-122 (heap-based buffer overflow) polega na przepisaniu danych poza granice przydzielonego bufora na stercie podczas operacji odczytu w funkcji H5HG_read. Przepełnienie powoduje uszkodzenie wskaźnika instrukcji (instruction pointer), co otwiera możliwość przejęcia kontroli nad przepływem wykonania programu. Atakujący może wywołać ten błąd poprzez dostarczenie specjalnie spreparowanego pliku HDF5 do przetworzenia przez podatną bibliotekę.

Skutki

Atakujący może doprowadzić do odmowy dostępu do usługi (DoS) lub — w przypadku skutecznego manipulowania wskaźnikiem instrukcji — do wykonania dowolnego kodu (RCE) w kontekście procesu przetwarzającego złośliwy plik HDF5.

Mitygacja

Należy zaktualizować bibliotekę HDF5 do wersji 1.14.4 lub nowszej, w której podatność została naprawiona zgodnie z informacją producenta dostępną pod adresem: https://www.hdfgroup.org/2024/05/new-hdf5-cve-issues-fixed-in-1-14-4/

Kogo dotyczy

HDF5 (Hdfgroup) w wersjach do 1.14.3 włącznie.

Uwagi

Podatność została naprawiona w wersji 1.14.4, co zostało potwierdzone przez producenta w komunikacie z maja 2024 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hdfgroup Hdf5

    APP
    Hdfgroup
    ≤ 1.14.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDoSMemory
CWE
Referencje

Powiązane podatności

CVE-2024-32608CRITICAL9.8PL ✓ten sam produkt

Podatność RCE/DoS w bibliotece HDF5 — uszkodzenie pamięci w H5A__close

CVE-2024-32611CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: użycie niezainicjowanej wartości w H5A__attr_release_table

CVE-2024-29159CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w HDF5 H5Z__filter_scaleoffset – RCE lub DoS

CVE-2024-29164CRITICAL9.8PL ✓ten sam produkt

Stack buffer overflow w HDF5 — RCE lub DoS przez uszkodzenie wskaźnika instrukcji

CVE-2024-32615CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: heap-based buffer overflow w dekompresji nbit

CVE-2024-29157 — HDF5: heap buffer overflow w H5HG_read umożliwiający RCE lub DoS — CRITICAL 9.8 | CVEbaza.pl