CRITICAL✓ PATCH🇬🇧 English

CVE-2024-32611

HDF5 Library: użycie niezainicjowanej wartości w H5A__attr_release_table

CVSS 9.8v3.1pub. 2024-05-14upd. 2025-04-18

Biblioteka HDF5 w wersjach do 1.14.3 włącznie zawiera podatność polegającą na użyciu niezainicjowanej wartości w funkcji H5A__attr_release_table w pliku H5Aint.c. Błąd otrzymał ocenę CVSS 9.8 (krytyczny), co oznacza poważne zagrożenie dla systemów przetwarzających pliki HDF5.

Pokaż oryginał (EN)

HDF5 Library through 1.14.3 may use an uninitialized value in H5A__attr_release_table in H5Aint.c.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej inicjalizacji pamięci (CWE-908, CWE-457) — biblioteka może odczytać lub wykorzystać wartość ze zmiennej, której zawartość nie została wcześniej poprawnie ustawiona. Funkcja H5A__attr_release_table odpowiedzialna za zwalnianie tabeli atrybutów może operować na danych z niezainicjowanego obszaru pamięci. Taki błąd może być wywołany przez przetworzenie specjalnie spreparowanego pliku HDF5, który zmusi bibliotekę do wykonania podatnej ścieżki kodu.

Skutki

Atakujący może potencjalnie uzyskać nieautoryzowany dostęp do danych w pamięci, naruszyć integralność przetwarzanych informacji lub doprowadzić do awarii aplikacji. W najgorszym przypadku błąd może umożliwić zdalne wykonanie kodu (RCE) w kontekście procesu korzystającego z biblioteki.

Mitygacja

Należy zaktualizować bibliotekę HDF5 do wersji 1.14.4 lub nowszej, w której błąd został naprawiony zgodnie z informacją producenta dostępną pod adresem: https://www.hdfgroup.org/2024/05/new-hdf5-cve-issues-fixed-in-1-14-4/

Kogo dotyczy

HDF5 Library w wersjach do 1.14.3 włącznie (Hdfgroup HDF5 through 1.14.3).

Uwagi

Podatność została naprawiona w wersji 1.14.4 biblioteki HDF5, zgodnie z komunikatem producenta opublikowanym w maju 2024 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hdfgroup Hdf5

    APP
    Hdfgroup
    < 1.14.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-32608CRITICAL9.8PL ✓ten sam produkt

Podatność RCE/DoS w bibliotece HDF5 — uszkodzenie pamięci w H5A__close

CVE-2024-29164CRITICAL9.8PL ✓ten sam produkt

Stack buffer overflow w HDF5 — RCE lub DoS przez uszkodzenie wskaźnika instrukcji

CVE-2024-29157CRITICAL9.8PL ✓ten sam produkt

HDF5: heap buffer overflow w H5HG_read umożliwiający RCE lub DoS

CVE-2024-29159CRITICAL9.8PL ✓ten sam produkt

Buffer overflow w HDF5 H5Z__filter_scaleoffset – RCE lub DoS

CVE-2024-32615CRITICAL9.8PL ✓ten sam produkt

HDF5 Library: heap-based buffer overflow w dekompresji nbit