CVE-2021-29532

**Nome do software vulnerável e versões afetadas:

Versões do TensorFlow anteriores à 2.5.0

Versões do TensorFlow 2.4.2 e anteriores

Versões do TensorFlow 2.3.3 e anteriores

Versões do TensorFlow 2.2.3 e anteriores

Versões do TensorFlow 2.1.4 e anteriores

Descrição:

Um invasor pode forçar acessos fora dos limites das matrizes alocadas na pilha (heap) passando valores de tensor inválidos para tf.raw ops.RaggedCross. Isso ocorre porque a implementação não possui validação para os argumentos fornecidos pelo usuário. Cada uma das ramificações acima chama uma função auxiliar após acessar elementos da matriz por meio de um padrão * list[next *], seguido pelo incremento do índice next *. No entanto, como não há validação de que os valores next * estejam no intervalo válido para as matrizes * list correspondentes, isso resulta em leituras fora dos limites (OOB) da pilha.

Recomendações:

Para versões do TensorFlow anteriores à 2.5.0, atualize para a versão 2.5.0 ou posterior.

Para versões do TensorFlow 2.4.2 e anteriores, atualize para a versão 2.4.2 ou posterior.

Para versões do TensorFlow 2.3.3 e anteriores, atualize para a versão 2.3.3 ou posterior.

Para versões do TensorFlow 2.2.3 e anteriores, atualize para a versão 2.2.3 ou posterior.

Para versões do TensorFlow 2.1.4 e anteriores, atualize para a versão 2.1.4 ou posterior.

Como solução alternativa temporária, considere restringir o uso de tf.raw ops.RaggedCross até que um patch esteja disponível.