CVE-2021-37654

Versões do TensorFlow anteriores à 2.6.0

Versões do TensorFlow 2.5.1 e anteriores

Versões do TensorFlow 2.4.3 e anteriores

Versões do TensorFlow 2.3.4 e anteriores

Um invasor pode provocar uma falha por meio de uma falha no CHECK em compilações de depuração do TensorFlow usando tf.raw ops.ResourceGather ou uma leitura fora dos limites dos dados alocados na pilha na mesma API em uma compilação de lançamento. A implementação não verifica se o valor batch dims fornecido pelo usuário é menor que a classificação do tensor de entrada, resultando na leitura de dados fora dos limites do buffer alocado na pilha que sustenta o tensor.

Para versões anteriores à 2.6.0, atualize para o TensorFlow 2.6.0 ou posterior.

Para versões 2.5.1 e anteriores, atualize para o TensorFlow 2.5.1 ou posterior.

Para versões 2.4.3 e anteriores, atualize para o TensorFlow 2.4.3 ou posterior.

Para versões 2.3.4 e anteriores, atualize para o TensorFlow 2.3.4 ou posterior.

Como solução temporária, considere restringir o uso de tf.raw ops.ResourceGather até que um patch esteja disponível.

Evite usar o parâmetro batch dims com valores que não sejam menores que a classificação do tensor de entrada no endpoint da API afetado até que o problema seja resolvido.