PT-2021-18364 · Google · Tensorflow
Yakun Zhang
+1
·
Publicado
2021-05-14
·
Atualizado
2024-03-06
·
CVE-2021-29613
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.5.0
Versões do TensorFlow 2.4.2 e anteriores
Versões do TensorFlow 2.3.3 e anteriores
Versões do TensorFlow 2.2.3 e anteriores
Versões do TensorFlow 2.1.4 e anteriores
Descrição
A validação incompleta em
tf.raw ops.CTCLoss permite que um invasor provoque uma leitura fora dos limites da pilha, um estouro de buffer da pilha ou uma desreferência de ponteiro nulo. Esse problema afeta o TensorFlow e pode ser explorado fornecendo uma entrada especialmente criada para a função tf.raw ops.CTCLoss.Recomendações
Para versões anteriores à 2.5.0, atualize para o TensorFlow 2.5.0 ou posterior.
Para versões 2.4.2 e anteriores, atualize para o TensorFlow 2.4.2 ou posterior.
Para versões 2.3.3 e anteriores, atualize para o TensorFlow 2.3.3 ou posterior.
Para versões 2.2.3 e anteriores, atualize para o TensorFlow 2.2.3 ou posterior.
Para versões 2.1.4 e anteriores, atualize para o TensorFlow 2.1.4 ou posterior.
Como solução temporária, considere desativar a função
tf.raw ops.CTCLoss até que um patch esteja disponível. Restrinja o acesso à função tf.raw ops.CTCLoss para minimizar o risco de exploração. Evite usar os parâmetros inputs, labels indices, labels values e sequence length no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Out of bounds Read
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tensorflow