PT-2021-23186 · Google · Tensorflow

Publicado

2021-11-05

·

Atualizado

2024-03-06

·

CVE-2021-41213

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.7.0
Versões do TensorFlow 2.6.1 e anteriores
Versões do TensorFlow 2.5.2 e anteriores
Versões do TensorFlow 2.4.4 e anteriores
Descrição
O código por trás da API tf.function pode entrar em deadlock quando duas funções Python decoradas com tf.function são mutuamente recursivas. Isso ocorre devido ao uso de um objeto Python Lock não reentrante. O carregamento de qualquer modelo que contenha funções mutuamente recursivas é vulnerável. Um invasor pode causar negação de serviço fazendo com que os usuários carreguem tais modelos e chamem uma tf.function recursiva, embora esse não seja um cenário frequente.
Recomendações
Para versões anteriores à 2.7.0, atualize para o TensorFlow 2.7.0 ou posterior.
Para versões 2.6.1 e anteriores, atualize para o TensorFlow 2.6.1 ou posterior.
Para versões 2.5.2 e anteriores, atualize para o TensorFlow 2.5.2 ou posterior.
Para versões 2.4.4 e anteriores, atualize para o TensorFlow 2.4.4 ou posterior.
Como solução alternativa temporária, considere evitar o uso de funções mutuamente recursivas com a API tf.function até que um patch esteja disponível.

Correção

Improper Locking

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-662CWE-667

Identificadores relacionados

BIT-TENSORFLOW-2021-41213
CVE-2021-41213
GHSA-H67M-XG8F-FXCF
OPENSUSE-SU-2024:12116-1
PYSEC-2021-405
PYSEC-2021-622
PYSEC-2021-820

Produtos afetados

Tensorflow