Plataforma
python
Componente
h2o
Corrigido em
3.46.0.6
3.46.1
A vulnerabilidade CVE-2024-5979 é uma falha de negação de serviço (DoS) descoberta em h2o, uma plataforma de aprendizado de máquina. A exploração do comando run_tool no componente rapids permite a invocação de funções arbitrárias, levando ao crash do servidor. Essa vulnerabilidade afeta versões do h2o anteriores ou iguais a 3.46.0. Uma correção foi lançada na versão 3.46.0.6.
Um atacante pode explorar essa vulnerabilidade enviando um argumento inválido para a função main da classe MojoConvertTool dentro do comando run_tool. Isso resulta em um crash do servidor h2o, tornando o serviço indisponível para usuários legítimos. O impacto é a interrupção das operações de aprendizado de máquina e a potencial perda de dados, dependendo da criticidade do serviço h2o na infraestrutura. A ausência do serviço pode impactar aplicações que dependem dele, gerando um efeito cascata. Embora a descrição não detalhe a possibilidade de execução remota de código, o crash do servidor pode ser considerado um ataque de negação de serviço.
A vulnerabilidade foi divulgada em 27 de junho de 2024. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A pontuação CVSS de 7.5 (HIGH) indica um risco significativo, especialmente em ambientes de produção.
Organizations deploying h2o-3 for machine learning tasks, particularly those using versions 3.46.0 and earlier, are at risk. This includes data science teams, machine learning engineers, and any applications that rely on h2o-3 for model training or prediction. Shared hosting environments where h2o-3 is installed could also be vulnerable if the underlying infrastructure is not properly secured.
• python / library: Inspect installed h2o-3 versions using pip show h2o. If the version is ≤3.46.0, the system is vulnerable.
• python / library: Use import h2o; print(h2o.version) to programmatically check the version.
• generic web: Monitor server logs for errors related to MojoConvertTool or the run_tool command, which may indicate an attempted exploit.
disclosure
Status do Exploit
EPSS
0.12% (percentil 31%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 3.46.0.6 do h2o, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção temporárias. Restrinja o acesso ao comando runtool apenas a usuários autorizados e com permissões mínimas. Implemente validação rigorosa dos argumentos passados para o comando runtool para evitar a injeção de valores inválidos. Monitore os logs do servidor h2o em busca de erros relacionados ao MojoConvertTool ou ao comando run_tool.
Actualice la biblioteca h2oai/h2o-3 a la versión 3.46.0.6 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo incorrecto de argumentos en la herramienta MojoConvertTool. La actualización previene que un atacante pueda causar una caída del servidor mediante el envío de argumentos inválidos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-5979 is a denial-of-service vulnerability in h2o-3 versions up to 3.46.0. An attacker can crash the server by exploiting the MojoConvertTool, leading to service disruption.
You are affected if you are using h2o-3 version 3.46.0 or earlier. Check your installed version using pip show h2o.
Upgrade to version 3.46.0.6 or later. If immediate upgrade isn't possible, implement input validation on the run_tool command.
There is currently no indication of active exploitation in the wild, but a PoC could be developed easily.
Refer to the h2o.ai security advisories page for the latest information: https://www.h2o.ai/security/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.