प्लेटफ़ॉर्म
python
घटक
h2o
में ठीक किया गया
3.46.0.6
3.46.1
CVE-2024-5979 h2o नामक डेटा साइंस प्लेटफॉर्म में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता run_tool कमांड के माध्यम से MojoConvertTool को गलत तर्क के साथ कॉल करने पर सर्वर को क्रैश करने की अनुमति देती है, जिससे सेवा बाधित होती है। यह भेद्यता h2o संस्करण 3.46.0 और उससे पहले के संस्करणों को प्रभावित करती है। 3.46.0.6 में अपग्रेड करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावर को h2o सर्वर को क्रैश करने और सेवा बाधित करने की अनुमति देती है। चूंकि h2o का उपयोग मशीन लर्निंग मॉडल को प्रशिक्षित करने और तैनात करने के लिए किया जाता है, इसलिए इस भेद्यता का शोषण डेटा हानि, सिस्टम डाउनटाइम और संभावित वित्तीय नुकसान का कारण बन सकता है। हमलावर इस भेद्यता का उपयोग अन्य सिस्टम तक पहुंचने के लिए भी कर सकते हैं यदि h2o सर्वर नेटवर्क पर अन्य संसाधनों तक पहुंच रखता है। यह भेद्यता विशेष रूप से महत्वपूर्ण है क्योंकि h2o का उपयोग कई संगठनों द्वारा महत्वपूर्ण अनुप्रयोगों में किया जाता है।
CVE-2024-5979 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किया जा सकता है। यह भेद्यता 2024-06-27 को प्रकाशित हुई थी।
Organizations deploying h2o-3 for machine learning tasks, particularly those using versions 3.46.0 and earlier, are at risk. This includes data science teams, machine learning engineers, and any applications that rely on h2o-3 for model training or prediction. Shared hosting environments where h2o-3 is installed could also be vulnerable if the underlying infrastructure is not properly secured.
• python / library: Inspect installed h2o-3 versions using pip show h2o. If the version is ≤3.46.0, the system is vulnerable.
• python / library: Use import h2o; print(h2o.version) to programmatically check the version.
• generic web: Monitor server logs for errors related to MojoConvertTool or the run_tool command, which may indicate an attempted exploit.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.12% (31% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, h2o को संस्करण 3.46.0.6 या उच्चतर में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो run_tool कमांड के उपयोग को सीमित करने या इनपुट सत्यापन लागू करने पर विचार करें। इसके अतिरिक्त, फ़ायरवॉल नियमों को कॉन्फ़िगर करके या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत पहुंच को सीमित किया जा सकता है। सर्वर लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।
Actualice la biblioteca h2oai/h2o-3 a la versión 3.46.0.6 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo incorrecto de argumentos en la herramienta MojoConvertTool. La actualización previene que un atacante pueda causar una caída del servidor mediante el envío de argumentos inválidos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-5979 h2o डेटा साइंस प्लेटफॉर्म में एक भेद्यता है जो हमलावर को गलत तर्क के साथ MojoConvertTool को कॉल करके सर्वर को क्रैश करने की अनुमति देती है।
यदि आप h2o संस्करण 3.46.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
h2o को संस्करण 3.46.0.6 या उच्चतर में अपग्रेड करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए h2o वेबसाइट देखें: [https://www.h2o.ai/security/](https://www.h2o.ai/security/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।