प्लेटफ़ॉर्म
c
घटक
hdf5
में ठीक किया गया
1.14.2
HDF5 में एक heap-use-after-free भेद्यता पाई गई है, जो h5dump सहायक उपयोगिता में होती है। एक हमलावर जो एक दुर्भावनापूर्ण h5 फ़ाइल प्रदान कर सकता है, वह एक heap use-after-free को ट्रिगर कर सकता है। यह भेद्यता सिस्टम अस्थिरता का कारण बन सकती है। यह HDF5 के संस्करण 1.0.0 से लेकर <= 1.14.1-2 तक को प्रभावित करता है।
HDF5 में CVE-2026-34734, CVSS स्कोर 7.8 के साथ, 'h5dump' यूटिलिटी में पाए गए 'heap-use-after-free' त्रुटि के कारण एक महत्वपूर्ण जोखिम पैदा करता है। यह दोष एक हमलावर को दुर्भावनापूर्ण HDF5 फ़ाइल प्रदान करके, भेद्यता को ट्रिगर करने की अनुमति देता है। समस्या यह है कि 'H5Tconvstruct' के भीतर 'memmove' कॉल के दौरान पहले से मुक्त ऑब्जेक्ट को संदर्भित किया जाता है। मूल ऑब्जेक्ट 'H5Dtypeinfoinitphase3' द्वारा आवंटित किया जाता है और 'H5Dtypeinfoterm' द्वारा मुक्त किया जाता है। सफल शोषण से मनमाना कोड निष्पादन, सेवा से इनकार या संवेदनशील जानकारी का प्रकटीकरण हो सकता है, जो HDF5 का उपयोग करने वाले एप्लिकेशन के संदर्भ पर निर्भर करता है। भेद्यता की गंभीरता संभावित हमलों को रोकने के लिए तत्काल कार्रवाई की आवश्यकता होती है।
यह भेद्यता HDF5 टूलकिट का हिस्सा 'h5dump' यूटिलिटी के माध्यम से शोषण की जाती है। एक हमलावर को एक विशेष रूप से डिज़ाइन की गई HDF5 फ़ाइल बनानी होगी जिसमें 'h5dump' के साथ संसाधित होने पर 'heap-use-after-free' त्रुटि को ट्रिगर करने वाले डेटा शामिल हों। शोषण की सफलता हमलावर की HDF5 फ़ाइल की सामग्री को नियंत्रित करने की क्षमता पर निर्भर करती है। चूंकि 'h5dump' का उपयोग अक्सर HDF5 फ़ाइलों का निरीक्षण और परिवर्तित करने के लिए किया जाता है, इसलिए यह भेद्यता उन परिदृश्यों में शोषण की जा सकती है जहां उपयोगकर्ता अविश्वसनीय स्रोतों से HDF5 फ़ाइलों को लोड और संसाधित करते हैं। 'h5dump' में इनपुट सत्यापन की कमी इसे इस प्रकार के हमले के लिए असुरक्षित बनाती है।
Applications and systems that rely on HDF5 for data storage and processing, particularly those that accept HDF5 files from untrusted sources, are at risk. This includes scientific computing environments, data analysis pipelines, and any application that utilizes the h5dump utility. Systems running older, unpatched versions of HDF5 are especially vulnerable.
• linux / server:
journalctl -u hdf5 -g "heap use-after-free"• generic web:
curl -I <hdf5_processing_endpoint> | grep -i 'HDF5/1.14.1-2'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34734 के लिए प्राथमिक शमन HDF5 को संस्करण 1.14.2 या उच्चतर में अपग्रेड करना है। इस संस्करण में 'heap-use-after-free' त्रुटि का सुधार शामिल है। विशेष रूप से उत्पादन वातावरण में, इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, संभावित दुर्भावनापूर्ण फ़ाइलों का पता लगाने के लिए HDF5 फ़ाइलों को संसाधित करने से पहले उनकी समीक्षा और सत्यापन करना उचित है। सैंडबॉक्स या कंटेनर जैसे अतिरिक्त सुरक्षा उपायों को लागू करने से संभावित शोषण के प्रभाव को अलग करने में मदद मिल सकती है। हमले की स्थिति में त्वरित प्रतिक्रिया के लिए HDF5 से संबंधित संदिग्ध गतिविधि की निगरानी करना भी महत्वपूर्ण है।
Actualice a la versión 1.14.2 o posterior para mitigar el problema de uso después de liberar. Verifique la documentación oficial de HDFGroup para obtener instrucciones de actualización específicas y detalles sobre la vulnerabilidad. Evite el uso de archivos HDF5 maliciosos de fuentes no confiables.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
HDF5 (पदानुक्रमित डेटा प्रारूप संस्करण 5) वैज्ञानिक और इंजीनियरिंग अनुप्रयोगों में बड़ी मात्रा में डेटा को संग्रहीत और प्रबंधित करने के लिए एक लाइब्रेरी है।
यह अपडेट एक महत्वपूर्ण सुरक्षा भेद्यता को ठीक करता है जो एक हमलावर को आपके सिस्टम पर दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति दे सकता है।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो HDF5 का उपयोग करने वाले सिस्टम को अलग करें और HDF5 फ़ाइलों को संसाधित करने से पहले उनकी समीक्षा करें।
वर्तमान में इस भेद्यता से संबंधित दुर्भावनापूर्ण HDF5 फ़ाइलों का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन नवीनतम एंटीवायरस सॉफ़्टवेयर का उपयोग करने की सिफारिश की जाती है।
आप HDF5 वेबसाइट और NVD (राष्ट्रीय भेद्यता डेटाबेस) जैसे भेद्यता डेटाबेस पर इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।