PT-2022-15070 · Google · Tensorflow
Yu Tian
·
Publicado
2022-02-03
·
Atualizado
2024-03-06
·
CVE-2022-21730
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.8.0
Versões do TensorFlow 2.7.1 e anteriores
Versões do TensorFlow 2.6.3 e anteriores
Versões do TensorFlow 2.5.3 e anteriores
Descrição
A implementação de
FractionalAvgPoolGrad não considera casos em que os tensores de entrada são inválidos, permitindo que um invasor leia fora dos limites da pilha (heap). Essa vulnerabilidade pode ser explorada fornecendo tensores de entrada inválidos à função FractionalAvgPoolGrad.Recomendações
Para versões anteriores à 2.8.0, atualize para o TensorFlow 2.8.0 ou posterior.
Para versões 2.7.1 e anteriores, atualize para o TensorFlow 2.7.1 ou posterior.
Para versões 2.6.3 e anteriores, atualize para o TensorFlow 2.6.3 ou posterior.
Para versões 2.5.3 e anteriores, atualize para o TensorFlow 2.5.3 ou posterior.
Como solução temporária, considere restringir o uso da função
FractionalAvgPoolGrad até que um patch esteja disponível.Exploit
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow