PT-2021-23190 · Google · Tensorflow
Publicado
2021-11-05
·
Atualizado
2024-03-06
·
CVE-2021-41217
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.7.0
Versões do TensorFlow 2.6.1 e anteriores
Versões do TensorFlow 2.5.2 e anteriores
Versões do TensorFlow 2.4.4 e anteriores
Descrição
O processo de construção do gráfico de fluxo de controle para um modelo do TensorFlow está vulnerável a uma exceção de ponteiro nulo quando os nós que deveriam estar emparelhados não estão. Isso ocorre porque o código assume que o primeiro nó do emparelhamento (por exemplo, um nó
Enter) sempre existe ao encontrar o segundo nó (por exemplo, um nó Exit). Quando isso não acontece, parent é nullptr, portanto, desreferenciá-lo causa uma falha.Recomendações
Para versões anteriores à 2.7.0, atualize para o TensorFlow 2.7.0 ou posterior.
Para versões 2.6.1 e anteriores, atualize para o TensorFlow 2.6.1 ou posterior.
Para versões 2.5.2 e anteriores, atualize para o TensorFlow 2.5.2 ou posterior.
Para versões 2.4.4 e anteriores, atualize para o TensorFlow 2.4.4 ou posterior.
Como solução alternativa temporária, considere evitar o uso de nós não emparelhados no gráfico de fluxo de controle até que um patch esteja disponível.
Exploit
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow