PT-2022-15076 · Google · Tensorflow
Faysal Hossain Shezan
·
Publicado
2022-02-03
·
Atualizado
2024-03-06
·
CVE-2022-21736
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.8.0
As versões 2.7.1, 2.6.3 e 2.5.3 do TensorFlow também estão afetadas
Descrição
A implementação de
SparseTensorSliceDataset apresenta um comportamento indefinido, o que pode fazer com que um valor nullptr seja desreferenciado sob certas condições. Os três argumentos de entrada para SparseTensorSliceDataset representam um tensor esparso, mas as pré-condições para esses argumentos não são validadas na implementação.Recomendações
Para versões anteriores à 2.8.0, atualize para o TensorFlow 2.8.0 ou posterior para resolver o problema.
Para a versão 2.7.1, atualize para uma versão que inclua o commit selecionado.
Para a versão 2.6.3, atualize para uma versão que inclua o commit selecionado.
Para a versão 2.5.3, atualize para uma versão que inclua o commit selecionado.
Como solução alternativa temporária, considere validar os argumentos de entrada para
SparseTensorSliceDataset para garantir que eles satisfaçam as pré-condições exigidas.Exploit
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow