CVE-2021-29531

**Nome do software vulnerável e versões afetadas:

Versões do TensorFlow anteriores à 2.5.0

Versões do TensorFlow 2.4.2 e anteriores

Versões do TensorFlow 2.3.3 e anteriores

Versões do TensorFlow 2.2.3 e anteriores

Versões do TensorFlow 2.1.4 e anteriores

Descrição:

Um invasor pode provocar uma falha CHECK na codificação PNG fornecendo um tensor de entrada vazio como dados de pixel. Isso ocorre porque a implementação valida apenas que o número total de pixels na imagem não ultrapasse o limite, permitindo que um invasor envie uma matriz vazia para codificação. Ao chamar png::WriteImageToBuffer, o primeiro argumento é NULL, acionando um CHECK NOTNULL e resultando na chamada de abort após a impressão do rastreamento de pilha. Isso permite que um invasor realize um ataque de negação de serviço.

Recomendações:

Atualize para o TensorFlow 2.5.0 ou posterior.

Para as versões 2.4.2, 2.3.3, 2.2.3 e 2.1.4, aplique o commit selecionado para corrigir o problema.

Como solução alternativa temporária, considere validar os tensores de entrada para garantir que não estejam vazios antes da codificação.