PT-2021-23177 · Google · Tensorflow

Pkanwar23

·

Publicado

2021-11-05

·

Atualizado

2024-03-06

·

CVE-2021-41205

CVSS v3.1

7.1

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.7.0
Versões do TensorFlow 2.6.1 e anteriores
Versões do TensorFlow 2.5.2 e anteriores
Versões do TensorFlow 2.4.4 e anteriores
Descrição
As funções de inferência de forma para as operações QuantizeAndDequantizeV* podem acionar uma leitura fora dos limites da matriz alocada na pilha. Esse problema é causado pelo código ignorar ocorrências de valores negativos de axis, diferentes de -1, que é usado para dimensões opcionais ou desconhecidas. O problema pode ser explorado passando um valor negativo de axis para as operações QuantizeAndDequantizeV*.
Recomendações
Para versões anteriores à 2.7.0, atualize para o TensorFlow 2.7.0 ou posterior.
Para versões 2.6.1 e anteriores, atualize para o TensorFlow 2.6.1 ou posterior.
Para versões 2.5.2 e anteriores, atualize para o TensorFlow 2.5.2 ou posterior.
Para versões 2.4.4 e anteriores, atualize para o TensorFlow 2.4.4 ou posterior.
Como solução alternativa temporária, considere evitar o uso de valores negativos de axis nas operações QuantizeAndDequantizeV* até que um patch esteja disponível.

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

BIT-TENSORFLOW-2021-41205
CVE-2021-41205
GHSA-49RX-X2RW-PC6F
OPENSUSE-SU-2024:12116-1
PYSEC-2021-398
PYSEC-2021-615
PYSEC-2021-813

Produtos afetados

Tensorflow