PT-2021-23195 · Google · Tensorflow

Publicado

2021-11-05

·

Atualizado

2024-03-06

·

CVE-2021-41222

CVSS v4.0

6.8

Média

VetorAV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.7.0
Versões do TensorFlow 2.6.1 e anteriores
Versões do TensorFlow 2.5.2 e anteriores
Versões do TensorFlow 2.4.4 e anteriores
Descrição
O TensorFlow é uma plataforma de código aberto para aprendizado de máquina. A implementação de SplitV pode provocar uma falha de segmentação (segfault) se um invasor fornecer argumentos negativos. Isso ocorre sempre que size splits contém mais de um valor e pelo menos um valor é negativo.
Recomendações
Para versões anteriores à 2.7.0, atualize para o TensorFlow 2.7.0 ou posterior.
Para as versões 2.6.1 e anteriores, atualize para o TensorFlow 2.6.1 ou posterior.
Para as versões 2.5.2 e anteriores, atualize para o TensorFlow 2.5.2 ou posterior.
Para as versões 2.4.4 e anteriores, atualize para o TensorFlow 2.4.4 ou posterior.
Como solução alternativa temporária, considere evitar o uso de argumentos negativos em size splits para minimizar o risco de exploração.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-682

Identificadores relacionados

BIT-TENSORFLOW-2021-41222
CVE-2021-41222
GHSA-CPF4-WX82-GXP6
OPENSUSE-SU-2024:12116-1
PYSEC-2021-414
PYSEC-2021-631
PYSEC-2021-829

Produtos afetados

Tensorflow