CVE-2021-29533

**Nome do software vulnerável e versões afetadas:

Versões do TensorFlow anteriores à 2.5.0

TensorFlow versão 2.4.2

TensorFlow versão 2.3.3

TensorFlow versão 2.2.3

TensorFlow versão 2.1.4

Descrição:

Um invasor pode provocar uma negação de serviço por meio de uma falha CHECK, passando uma imagem vazia para tf.raw ops.DrawBoundingBoxes. Isso ocorre porque a implementação usa asserções CHECK * em vez de OP REQUIRES para validar entradas controladas pelo usuário. As macros CHECK * resultam em uma falha se a condição for falsa, de forma semelhante a assert. Neste caso, height é 0 na entrada images, resultando em max box row clamp sendo negativo e na falsificação da asserção, seguido pelo abortamento da execução do programa.

Recomendações:

Para versões do TensorFlow anteriores à 2.5.0, atualize para a versão 2.5.0 ou posterior.

Para a versão 2.4.2 do TensorFlow, atualize para uma versão corrigida que inclua a correção.

Para a versão 2.3.3 do TensorFlow, atualize para uma versão corrigida que inclua a correção.

Para a versão 2.2.3 do TensorFlow, atualize para uma versão corrigida que inclua a correção.

Para a versão 2.1.4 do TensorFlow, atualize para uma versão corrigida que inclua a correção.

Como solução alternativa temporária, considere evitar o uso de tf.raw ops.DrawBoundingBoxes com imagens vazias até que um patch esteja disponível.