HDF5 Use-After-Free Vulnerability (CVE-2026-34734) Fix

HDF5 में CVE-2026-34734, CVSS स्कोर 7.8 के साथ, 'h5dump' यूटिलिटी में पाए गए 'heap-use-after-free' त्रुटि के कारण एक महत्वपूर्ण जोखिम पैदा करता है। यह दोष एक हमलावर को दुर्भावनापूर्ण HDF5 फ़ाइल प्रदान करके, भेद्यता को ट्रिगर करने की अनुमति देता है। समस्या यह है कि 'H5Tconvstruct' के भीतर 'memmove' कॉल के दौरान पहले से मुक्त ऑब्जेक्ट को संदर्भित किया जाता है। मूल ऑब्जेक्ट 'H5Dtypeinfoinitphase3' द्वारा आवंटित किया जाता है और 'H5Dtypeinfoterm' द्वारा मुक्त किया जाता है। सफल शोषण से मनमाना कोड निष्पादन, सेवा से इनकार या संवेदनशील जानकारी का प्रकटीकरण हो सकता है, जो HDF5 का उपयोग करने वाले एप्लिकेशन के संदर्भ पर निर्भर करता है। भेद्यता की गंभीरता संभावित हमलों को रोकने के लिए तत्काल कार्रवाई की आवश्यकता होती है।

Applications and systems that rely on HDF5 for data storage and processing, particularly those that accept HDF5 files from untrusted sources, are at risk. This includes scientific computing environments, data analysis pipelines, and any application that utilizes the h5dump utility. Systems running older, unpatched versions of HDF5 are especially vulnerable.

• linux / server:

journalctl -u hdf5 -g "heap use-after-free"

• generic web:

curl -I <hdf5_processing_endpoint> | grep -i 'HDF5/1.14.1-2'

1. 2026-04-09Disclosure

   disclosure

1. आरक्षित2026-03-30
2. प्रकाशित2026-04-09
3. संशोधित2026-04-13
4. EPSS अद्यतन2026-04-17

CVE-2026-34734 के लिए प्राथमिक शमन HDF5 को संस्करण 1.14.2 या उच्चतर में अपग्रेड करना है। इस संस्करण में 'heap-use-after-free' त्रुटि का सुधार शामिल है। विशेष रूप से उत्पादन वातावरण में, इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, संभावित दुर्भावनापूर्ण फ़ाइलों का पता लगाने के लिए HDF5 फ़ाइलों को संसाधित करने से पहले उनकी समीक्षा और सत्यापन करना उचित है। सैंडबॉक्स या कंटेनर जैसे अतिरिक्त सुरक्षा उपायों को लागू करने से संभावित शोषण के प्रभाव को अलग करने में मदद मिल सकती है। हमले की स्थिति में त्वरित प्रतिक्रिया के लिए HDF5 से संबंधित संदिग्ध गतिविधि की निगरानी करना भी महत्वपूर्ण है।