PT-2022-15082 · Google · Tensorflow
Wang Xuan
·
Publicado
2022-02-03
·
Atualizado
2024-03-06
·
CVE-2022-21741
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.8.0
As versões 2.7.1, 2.6.3 e 2.5.3 do TensorFlow também estão afetadas
Descrição
Um invasor pode criar um modelo TFLite para provocar uma divisão por zero na implementação de convoluções em profundidade. Os parâmetros da convolução, que são controlados pelo usuário, são usados em uma operação de divisão para determinar o tamanho do preenchimento antes de aplicar a convolução. Não há verificação para garantir que o divisor seja estritamente positivo.
Recomendações
Para versões anteriores à 2.8.0, atualize para o TensorFlow 2.8.0 ou posterior.
Para a versão 2.7.1, atualize para uma versão que inclua o commit selecionado.
Para a versão 2.6.3, atualize para uma versão que inclua o commit selecionado.
Para a versão 2.5.3, atualize para uma versão que inclua o commit selecionado.
Como solução alternativa temporária, considere restringir o uso de parâmetros de convolução controlados pelo usuário para minimizar o risco de exploração.
Exploit
Correção
Divide By Zero
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow