PT-2020-14277 · Google+1 · Tensorflow+1

Shuaike Dong

·

Publicado

2020-09-25

·

Atualizado

2024-03-06

·

CVE-2020-15206

CVSS v3.1

9.0

Crítica

VetorAV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 1.15.4
Versões do TensorFlow anteriores à 2.0.3
Versões do TensorFlow anteriores à 2.1.2
Versões do TensorFlow anteriores à 2.2.1
Versões do TensorFlow anteriores à 2.3.1
Descrição
Alterar o buffer de protocolo SavedModel do TensorFlow e modificar o nome das chaves necessárias resulta em erros de segmentação (segfaults) e corrupção de dados durante o carregamento do modelo. Isso pode causar uma negação de serviço em produtos que utilizam o tensorflow-serving ou outras instalações de inferência como serviço.
Recomendações
Atualize para o TensorFlow 1.15.4
Atualize para o TensorFlow 2.0.3
Atualize para o TensorFlow 2.1.2
Atualize para o TensorFlow 2.2.1
Atualize para o TensorFlow 2.3.1

Exploit

Correção

DoS

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

BIT-TENSORFLOW-2020-15206
CVE-2020-15206
GHSA-W5GH-2WR2-PM6G
OPENSUSE-SU-2020:1766-1
OPENSUSE-SU-2020_1766-1
OPENSUSE-SU-2024:12116-1
PYSEC-2020-129
PYSEC-2020-286
PYSEC-2020-321

Produtos afetados

Suse
Tensorflow