PT-2021-18313 · Google · Tensorflow
Yakun Zhang
+1
·
Publicado
2021-05-14
·
Atualizado
2024-03-06
·
CVE-2021-29562
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.5.0
TensorFlow versão 2.4.2
TensorFlow versão 2.3.3
TensorFlow versão 2.2.3
TensorFlow versão 2.1.4
Descrição
Um invasor pode causar uma negação de serviço explorando uma falha no
CHECK proveniente da implementação de tf.raw ops.IRFFT. Esse problema pode ser acionado fazendo com que o código Eigen opere em uma matriz vazia, o que leva ao encerramento do programa. A vulnerabilidade foi relatada por Yakun Zhang e Ying Wang, da Baidu X-Team.Recomendações
Para versões do TensorFlow anteriores à 2.5.0, atualize para a versão 2.5.0 ou posterior.
Para a versão 2.4.2 do TensorFlow, aplique o patch do commit 1c56f53be0b722ca657cbc7df461ed676c8642a2 do GitHub ou atualize para uma versão posterior.
Para a versão 2.3.3 do TensorFlow, aplique o patch do commit 1c56f53be0b722ca657cbc7df461ed676c8642a2 no GitHub ou atualize para uma versão posterior.
Para a versão 2.2.3 do TensorFlow, aplique o patch do commit 1c56f53be0b722ca657cbc7df461ed676c8642a2 no GitHub ou atualize para uma versão mais recente.
Para a versão 2.1.4 do TensorFlow, aplique o patch do commit 1c56f53be0b722ca657cbc7df461ed676c8642a2 do GitHub ou atualize para uma versão mais recente.
Como solução alternativa temporária, considere evitar o uso de
tf.raw ops.IRFFT com matrizes vazias até que um patch seja aplicado.Exploit
Correção
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow