PT-2021-18271 · Google · Tensorflow
Yakun Zhang
+1
·
Publicado
2021-05-14
·
Atualizado
2024-03-06
·
CVE-2021-29520
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do TensorFlow anteriores à 2.5.0
TensorFlow versão 2.4.2
TensorFlow versão 2.3.3
TensorFlow versão 2.2.3
TensorFlow versão 2.1.4
Descrição:
A falta de validação entre os argumentos das operações
tf.raw ops.Conv3DBackprop* pode resultar em estouros de buffer de heap. Isso ocorre porque a implementação assume que os tensores input, filter sizes e out backprop têm a mesma forma, uma vez que são acessados em paralelo.Recomendações:
Para versões do TensorFlow anteriores à 2.5.0, atualize para a versão 2.5.0 ou posterior.
Para a versão 2.4.2 do TensorFlow, aplique o patch do commit 8f37b52e1320d8d72a9529b2468277791a261197 no GitHub.
Para a versão 2.3.3 do TensorFlow, aplique o patch do commit 8f37b52e1320d8d72a9529b2468277791a261197 no GitHub.
Para a versão 2.2.3 do TensorFlow, aplique o patch do commit 8f37b52e1320d8d72a9529b2468277791a261197 no GitHub.
Para a versão 2.1.4 do TensorFlow, aplique o patch do commit 8f37b52e1320d8d72a9529b2468277791a261197 no GitHub.
Como solução alternativa temporária, considere desativar as operações
tf.raw ops.Conv3DBackprop* até que um patch esteja disponível.Exploit
Correção
Buffer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tensorflow