CVE-2022-21729

Versões do TensorFlow 2.5.3 a 2.7.1

A versão 2.8.0 do TensorFlow não é afetada, pois já inclui a correção.

A implementação de UnravelIndex está vulnerável a uma divisão por zero causada por um bug de estouro de inteiro. Esse problema pode ser explorado usando a função tf.raw ops.UnravelIndex com parâmetros específicos, como indices=-0x100000 e dims=[0x100000,0x100000]. A vulnerabilidade foi relatada por Yu Tian, da equipe AIVul da Qihoo 360.

Para as versões 2.5.3, 2.6.3 e 2.7.1 do TensorFlow, atualize para as respectivas versões corrigidas para resolver o problema.

Para versões do TensorFlow anteriores à 2.5.3, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Como solução alternativa temporária, considere evitar o uso da função UnravelIndex com valores de entrada grandes até que um patch esteja disponível.