PT-2020-16389 · Google · Tensorflow

Mihaimaruseac

·

Publicado

2020-12-10

·

Atualizado

2024-03-06

·

CVE-2020-26266

CVSS v3.1

5.3

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 1.15.5
Versões do TensorFlow anteriores à 2.0.4
Versões do TensorFlow anteriores à 2.1.3
Versões do TensorFlow anteriores à 2.2.2
Versões do TensorFlow anteriores à 2.3.2
Versões do TensorFlow anteriores à 2.4.0
Descrição
Nas versões afetadas do TensorFlow, em certos casos, um modelo salvo pode acionar o uso de valores não inicializados durante a execução do código. Esse problema é causado pelo preenchimento dos buffers de tensores com o valor padrão do tipo, mas sem a inicialização padrão dos tipos de ponto flutuante quantizados no Eigen.
Recomendações
Para versões anteriores à 1.15.5, atualize para a versão 1.15.5 ou posterior.
Para versões anteriores à 2.0.4, atualize para a versão 2.0.4 ou posterior.
Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 ou posterior.
Para versões anteriores à 2.2.2, atualize para a versão 2.2.2 ou posterior.
Para versões anteriores à 2.3.2, atualize para a versão 2.3.2 ou posterior.
Para versões anteriores à 2.4.0, atualize para a versão 2.4.0 ou posterior.

Exploit

Correção

Use of Uninitialized Resource

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-908

Identificadores relacionados

BIT-TENSORFLOW-2020-26266
CVE-2020-26266
GHSA-QHXX-J73R-QPM2
OPENSUSE-SU-2022:10014-1
OPENSUSE-SU-2024:12116-1
PYSEC-2020-254
PYSEC-2020-297
PYSEC-2020-332

Produtos afetados

Tensorflow