CVE-2021-29529

**Nome do software vulnerável e versões afetadas:

Versões do TensorFlow anteriores à 2.5.0

Versões do TensorFlow 2.1.4 a 2.4.2

Descrição:

Um invasor pode provocar um estouro de buffer de heap em tf.raw ops.QuantizedResizeBilinear manipulando valores de entrada de modo que o arredondamento de números de precisão flutuante resulte em um erro de desvio de um ao acessar elementos da imagem. Isso ocorre porque a implementação calcula dois inteiros (representando os limites superior e inferior para a interpolação) arredondando para cima e para baixo um valor de precisão flutuante. Para alguns valores de in, interpolation->upper[i] pode ser menor que interpolation->lower[i], o que é um problema se interpolation->upper[i] for limitado a in size-1, pois isso significa que interpolation->lower[i] aponta para fora da imagem. Então, no código de interpolação, isso resultaria em estouro de buffer de heap.

Recomendações:

Para versões anteriores à 2.5.0, atualize para o TensorFlow 2.5.0 ou posterior.

Para as versões 2.1.4 a 2.4.2, atualize para as respectivas versões corrigidas: 2.1.4, 2.2.3, 2.3.3 ou 2.4.2.

Como solução alternativa temporária, considere restringir o uso da função tf.raw ops.QuantizedResizeBilinear até que um patch esteja disponível.