Neophytos Christou

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.11 Versões 2.10.1, 2.9.3 e 2.8.4 do TensorFlow **Descrição** O TensorFlow é uma plataforma de código aberto para aprendizado de máquina. Quando `tf.raw ops.FusedResizeAndPadConv2D` recebe um tensor de grande dimensão, ocorre um estouro de memória. **Recomendações** Para versões do TensorFlow anteriores à 2.11, atualize para a versão 2.11 ou posterior. Para as versões 2.10.1, 2.9.3 e 2.8.4 do TensorFlow, aplique o patch do commit d66e1d568275e6a2947de97dca7a102a211e01ce do GitHub. Como solução alternativa temporária, considere evitar o uso de `tf.raw ops.FusedResizeAndPadConv2D` com tensores de grandes dimensões até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.11 Versões 2.10.1, 2.9.3 e 2.8.4 do TensorFlow **Descrição** O problema ocorre quando a função `tf.raw ops.ResizeNearestNeighborGrad` recebe uma entrada `size` de grande porte, causando um estouro de memória. Isso pode ser explorado com uma entrada específica, como `size = tf.constant([1879048192,1879048192], shape=[2], dtype=tf.int32)`. **Recomendações** Para versões do TensorFlow anteriores à 2.11, atualize para a versão 2.11 ou posterior. Para as versões 2.10.1, 2.9.3 e 2.8.4 do TensorFlow, aplique o patch do commit 00c821af032ba9e5f5fa3fe14690c8d28a657624 do GitHub. Como solução alternativa temporária, considere restringir o uso da função `tf.raw ops.ResizeNearestNeighborGrad` com entradas de `size` grandes até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.11 Versões 2.10.1, 2.9.3 e 2.8.4 do TensorFlow **Descrição** O TensorFlow é uma plataforma de código aberto para aprendizado de máquina. Quando `tf.raw ops.ImageProjectiveTransformV2` recebe um formato de saída grande, ocorre um estouro de memória. O problema foi corrigido no commit 8faa6ea692985dbe6ce10e1a3168e0bd60a723ba do GitHub. **Recomendações** Para versões do TensorFlow anteriores à 2.11, atualize para a versão 2.11 ou posterior. Para a versão 2.10.1 do TensorFlow, atualize para uma versão que inclua o commit selecionado. Para a versão 2.9.3 do TensorFlow, atualize para uma versão que inclua o commit selecionado. Para a versão 2.8.4 do TensorFlow, atualize para uma versão que inclua o commit selecionado. Como solução alternativa temporária, considere evitar o uso de `tf.raw ops.ImageProjectiveTransformV2` com formas de saída grandes até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow **Descrição** O problema ocorre quando `QuantizedAvgPool` recebe tensores `min input` ou `max input` de classificação diferente de zero, resultando em uma falha de segmentação que pode ser usada para desencadear um ataque de negação de serviço. **Recomendações** Para versões do TensorFlow anteriores à 2.10.0, atualize para a versão 2.10.0 ou posterior. Para as versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow, selecione o commit 7cdf9d4d2083b739ec81cfdace546b0c99f50622 para resolver o problema. Como solução alternativa temporária, considere evitar o uso de `QuantizedAvgPool` com tensores `min input` ou `max input` de classificação diferente de zero até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** A implementação de `Conv2DBackpropInput` requer que `input sizes` seja quadridimensional. Caso contrário, ocorre uma falha `CHECK`, que pode ser usada para desencadear um ataque de negação de serviço. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere validar as dimensões de `input sizes` antes de passá-las para `Conv2DBackpropInput` para evitar a falha `CHECK`.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema ocorre quando `QuantizedInstanceNorm` recebe tensores `x min` ou `x max` de classificação diferente de zero, resultando em uma falha de segmentação que pode ser usada para desencadear um ataque de negação de serviço. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões do TensorFlow anteriores à 2.10.0, atualize para a versão 2.10.0 ou posterior. Para versões do TensorFlow 2.9.1 e anteriores, atualize para a versão 2.9.1 ou posterior. Para versões do TensorFlow 2.8.1 e anteriores, atualize para a versão 2.8.1 ou posterior. Para versões do TensorFlow 2.7.2 e anteriores, atualize para a versão 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso de `QuantizedInstanceNorm` com tensores `x min` ou `x max` de classificação diferente de zero até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow **Descrição** O problema ocorre quando `FakeQuantWithMinMaxVars` recebe tensores `min` ou `max` de classificação diferente de zero, resultando em uma falha `CHECK` que pode ser usada para desencadear um ataque de negação de serviço. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões do TensorFlow anteriores à 2.10.0, atualize para a versão 2.10.0 ou posterior. Para as versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow, atualize para as respectivas versões corrigidas. Como solução alternativa temporária, considere evitar o uso de `FakeQuantWithMinMaxVars` com tensores `min` ou `max` de classificação diferente de zero até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema ocorre quando `QuantizedBiasAdd` recebe tensores `min input`, `max input`, `min bias` e `max bias` de classificação diferente de zero, resultando em uma falha de segmentação que pode ser usada para desencadear um ataque de negação de serviço. **Recomendações** Para versões do TensorFlow anteriores à 2.10.0, atualize para a versão 2.10.0 ou posterior. Para versões do TensorFlow 2.9.1 e anteriores, atualize para a versão 2.9.1 ou posterior. Para versões do TensorFlow 2.8.1 e anteriores, atualize para a versão 2.8.1 ou posterior. Para versões do TensorFlow 2.7.2 e anteriores, atualize para a versão 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso de `QuantizedBiasAdd` com tensores `min input`, `max input`, `min bias` e `max bias` de classificação diferente de zero até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow **Descrição** O problema ocorre quando `QuantizedMatMul` recebe uma entrada não escalar para: `min a`, `max a`, `min b` ou `max b`. Isso pode provocar uma falha de segmentação, levando a um ataque de negação de serviço. **Recomendações** Para versões do TensorFlow anteriores à 2.10.0, atualize para a versão 2.10.0 ou posterior. Para as versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow, atualize para as respectivas versões corrigidas. Como solução temporária, considere evitar o uso de `QuantizedMatMul` com entradas não escalares para `min a`, `max a`, `min b` ou `max b` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O TensorFlow é uma plataforma de código aberto para aprendizado de máquina. Se `QuantizeDownAndShrinkRange` receber entradas não escalares para `input min` ou `input max`, isso resulta em uma falha de segmentação que pode ser usada para desencadear um ataque de negação de serviço. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução temporária, considere evitar o uso de `QuantizeDownAndShrinkRange` com entradas não escalares para `input min` ou `input max` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** A falha resulta em um erro de segmentação (segfault) que pode ser usado para desencadear um ataque de negação de serviço quando `QuantizedRelu` ou `QuantizedRelu6` recebem entradas não escalares para `min features` ou `max features`. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso de entradas não escalares para `min features` ou `max features` em `QuantizedRelu` ou `QuantizedRelu6` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema está relacionado à função `FractionalMaxPoolGrad`, que valida suas entradas com falhas `CHECK` em vez de retornar erros. Se receber entradas com tamanho incorreto, a falha `CHECK` pode ser usada para desencadear um ataque de negação de serviço. Isso pode ser feito fornecendo valores de entrada específicos à função `tf.raw ops.FractionalMaxPoolGrad`, tais como `orig input`, `orig output`, `out backprop`, `row pooling sequence` e `col pooling sequence`. O número estimado de dispositivos potencialmente afetados não foi fornecido. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução temporária, considere evitar o uso da função `FractionalMaxPoolGrad` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema ocorre quando `tf.quantization.fake quant with min max vars per channel gradient` recebe uma entrada `min` ou `max` de classificação diferente de 1, resultando em uma falha `CHECK` que pode desencadear um ataque de negação de serviço. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso de `tf.quantization.fake quant with min max vars per channel gradient` com `min` ou `max` de entrada de classificação diferente de 1 até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema ocorre quando `tf.quantization.fake quant with min max vars gradient` recebe uma entrada `min` ou `max` que não é escalar, resultando em uma falha `CHECK` que pode desencadear um ataque de negação de serviço. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso de `tf.quantization.fake quant with min max vars gradient` com entradas `min` ou `max` não escalares até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** A falha resulta em um erro de segmentação (segfault) que pode ser usado para desencadear um ataque de negação de serviço quando a função `Requantize` recebe tensores `input min`, `input max`, `requested output min` e `requested output max` de classificação diferente de zero. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso da função `Requantize` com tensores de grau diferente de zero até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema ocorre quando `RaggedTensorToVariant` recebe uma lista `rt nested splits` contendo tensores de rank diferente de um, resultando em uma falha `CHECK` que pode ser usada para desencadear um ataque de negação de serviço. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso de `RaggedTensorToVariant` com listas `rt nested splits` contendo tensores de rank diferente de um até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema ocorre quando `FakeQuantWithMinMaxVarsPerChannel` recebe tensores `min` ou `max` de uma ordem diferente de um, resultando em uma falha `CHECK` que pode ser usada para desencadear um ataque de negação de serviço. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso de `FakeQuantWithMinMaxVarsPerChannel` com tensores `min` ou `max` de classificação diferente de um até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** O problema ocorre quando a função `QuantizeAndDequantizeV3` recebe um tensor de entrada `num bits` não escalar, resultando em uma falha `CHECK` que pode ser usada para desencadear um ataque de negação de serviço. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso da função `QuantizeAndDequantizeV3` com tensores de entrada `num bits` não escalares até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** A implementação do SobolSampleOp está vulnerável a um ataque de negação de serviço por meio de falha de CHECK (falha de asserção) causada pela suposição de que `input(0)`, `input(1)` e `input(2)` são escalares. Esse problema pode ser desencadeado ao fornecer entradas não escalares à função SobolSampleOp. **Recomendações** Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução alternativa temporária, considere evitar o uso da função SobolSampleOp com entradas não escalares até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do TensorFlow anteriores à 2.10.0 Versões do TensorFlow 2.9.1 e anteriores Versões do TensorFlow 2.8.1 e anteriores Versões do TensorFlow 2.7.2 e anteriores **Descrição** A implementação de `AvgPool3DGradOp` não valida totalmente a entrada `orig input shape`, resultando em um estouro que causa uma falha `CHECK`, o que pode ser usado para desencadear um ataque de negação de serviço. **Recomendações** Para versões do TensorFlow anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior. Para versões do TensorFlow 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior. Para versões do TensorFlow 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior. Para versões do TensorFlow 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior. Como solução temporária, considere desativar a função `AvgPool3DGradOp` até que um patch esteja disponível.