CRITICAL✓ PATCH🇬🇧 English

CVE-2024-29159

Buffer overflow w HDF5 H5Z__filter_scaleoffset – RCE lub DoS

CVSS 9.8v3.1pub. 2024-05-14upd. 2025-04-18

Biblioteka HDF5 w wersjach do 1.14.3 zawiera podatność typu buffer overflow w funkcji H5Z__filter_scaleoffset, która prowadzi do uszkodzenia wskaźnika instrukcji. Błąd umożliwia atakującemu wywołanie odmowy usługi lub potencjalne wykonanie dowolnego kodu.

Pokaż oryginał (EN)

HDF5 through 1.14.3 contains a buffer overflow in H5Z__filter_scaleoffset, resulting in the corruption of the instruction pointer and causing denial of service or potential code execution.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi bufora (CWE-120 — klasyczny buffer overflow) w funkcji filtrowania danych H5Z__filter_scaleoffset, wchodzącej w skład mechanizmu kompresji/transformacji danych HDF5. Przepełnienie bufora nadpisuje wskaźnik instrukcji (instruction pointer), co zaburza normalny przepływ wykonania programu. W konsekwencji osoba atakująca może doprowadzić do awarii aplikacji lub — w sprzyjających warunkach — przejąć kontrolę nad wykonaniem kodu poprzez spreparowany plik HDF5.

Skutki

Atakujący może doprowadzić do odmowy usługi (DoS) poprzez crash aplikacji przetwarzającej plik HDF5 lub, w przypadku pomyślnej eksploatacji, uzyskać możliwość zdalnego wykonania kodu (RCE) w kontekście procesu ofiary.

Mitygacja

Należy zaktualizować bibliotekę HDF5 do wersji 1.14.4 lub nowszej, w której producent udostępnił poprawki dla tej i powiązanych podatności. Szczegóły dostępne w komunikacie producenta pod adresem: https://www.hdfgroup.org/2024/05/new-hdf5-cve-issues-fixed-in-1-14-4/

Kogo dotyczy

HDF5 (Hdfgroup) w wersjach do 1.14.3 włącznie.

Uwagi

Producent (HDF Group) opublikował informację o poprawkach w wersji 1.14.4 w maju 2024 roku, obejmującą tę oraz inne podatności CVE. Biblioteka HDF5 jest szeroko stosowana w środowiskach naukowych, inżynieryjnych oraz systemach przetwarzania danych — organizacje korzystające z tej biblioteki powinny priorytetowo wdrożyć aktualizację.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hdfgroup Hdf5

    APP
    Hdfgroup
    < 1.14.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDoSMemory
CWE
Referencje

Powiązane podatności

CVE-2024-32608CRITICAL9.8PL ✓ten sam produkt

Podatność RCE/DoS w bibliotece HDF5 — uszkodzenie pamięci w H5A__close

CVE-2024-32611CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: użycie niezainicjowanej wartości w H5A__attr_release_table

CVE-2024-29157CRITICAL9.8PL ✓ten sam produkt

HDF5: heap buffer overflow w H5HG_read umożliwiający RCE lub DoS

CVE-2024-29164CRITICAL9.8PL ✓ten sam produkt

Stack buffer overflow w HDF5 — RCE lub DoS przez uszkodzenie wskaźnika instrukcji

CVE-2024-32615CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: heap-based buffer overflow w dekompresji nbit

CVE-2024-29159 — Buffer overflow w HDF5 H5Z__filter_scaleoffset – RCE lub DoS — CRITICAL 9.8 | CVEbaza.pl