PT-2021-21778 · Google · Tensorflow

Publicado

2021-08-12

·

Atualizado

2024-03-06

·

CVE-2021-37661

CVSS v4.0

6.8

Média

VetorAV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.6.0
TensorFlow versão 2.5.1
TensorFlow versão 2.4.3
TensorFlow versão 2.3.4
Descrição
O TensorFlow é uma plataforma de código aberto completa para aprendizado de máquina. Nas versões afetadas, um invasor pode causar uma negação de serviço em boosted trees create quantile stream resource usando argumentos negativos. A implementação não valida se num streams contém apenas números não negativos, resultando em uma falha na biblioteca padrão devido à conversão implícita de um valor negativo para um grande valor positivo sem sinal.
Recomendações
Atualize para o TensorFlow 2.6.0 ou posterior para resolver o problema.
Para o TensorFlow 2.5.1, atualize para uma versão mais recente que inclua a correção.
Para o TensorFlow 2.4.3, atualize para uma versão mais recente que inclua a correção.
Para o TensorFlow 2.3.4, atualize para uma versão mais recente que inclua a correção.
Como solução alternativa temporária, considere validar o argumento num streams para garantir que ele contenha apenas números não negativos antes de chamar boosted trees create quantile stream resource.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-681

Identificadores relacionados

BIT-TENSORFLOW-2021-37661
CVE-2021-37661
GHSA-GF88-J2MG-CC82
OPENSUSE-SU-2022:10014-1
OPENSUSE-SU-2024:12116-1
PYSEC-2021-283
PYSEC-2021-574
PYSEC-2021-772

Produtos afetados

Tensorflow