PT-2020-8877 · Google · Tensorflow
David G. Andersen
·
Publicado
2020-05-04
·
Atualizado
2020-05-13
·
CVE-2018-21233
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 1.7.0
Descrição
O problema é causado por um estouro de inteiro que leva a uma leitura fora dos limites, podendo revelar o conteúdo da memória do processo. Isso ocorre no recurso DecodeBmp do decodificador BMP, no arquivo core/kernels/decode bmp op.cc.
Recomendações
Para versões anteriores à 1.7.0, atualize para a versão 1.7.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso DecodeBmp do decodificador BMP até que um patch esteja disponível. Restrinja o acesso ao módulo do decodificador BMP para minimizar o risco de exploração.
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow