PT-2021-23169 · Google · Tensorflow
Lugalurimo
·
Publicado
2021-11-05
·
Atualizado
2024-03-06
·
CVE-2021-41197
CVSS v4.0
6.8
Média
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.7.0
Versões do TensorFlow da 2.6.0 à 2.6.0
Versões do TensorFlow da 2.5.0 à 2.5.1
Versões do TensorFlow da 2.4.0 à 2.4.3
Descrição
O TensorFlow permite que os tensores tenham um grande número de dimensões, e cada dimensão pode ser tão grande quanto desejado. No entanto, o número total de elementos em um tensor deve caber dentro de um
int64 t. Se ocorrer um estouro, MultiplyWithoutOverflow retornaria um resultado negativo, resultando em uma falha de CHECK na maior parte da base de código do TensorFlow. Existem construções mais recentes que retornam um Status em vez de travar o binário. Por exemplo, chamadas para AddDim devem ser substituídas por AddDimWithStatus.Recomendações
Para versões anteriores à 2.7.0, atualize para o TensorFlow 2.7.0 ou posterior.
Para as versões 2.6.0 a 2.6.0, atualize para o TensorFlow 2.6.1 ou posterior.
Para as versões 2.5.0 a 2.5.1, atualize para o TensorFlow 2.5.2 ou posterior.
Para as versões 2.4.0 a 2.4.3, atualize para o TensorFlow 2.4.4 ou posterior.
Exploit
Correção
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow