PT-2022-16072 · Google · Tensorflow
Wang Xuan
·
Publicado
2022-02-04
·
Atualizado
2024-03-06
·
CVE-2022-23557
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.8.0
As versões 2.7.1, 2.6.3 e 2.5.3 do TensorFlow também estão afetadas
Descrição
Um invasor pode criar um modelo TFLite que provocaria uma divisão por zero na implementação de
BiasAndClamp. Não há verificação de que bias size seja diferente de zero. O problema está relacionado à função BiasAndClamp, que não verifica se bias size é diferente de zero antes de realizar operações.Recomendações
Para versões anteriores à 2.8.0, atualize para o TensorFlow 2.8.0 ou posterior.
Para a versão 2.7.1, atualize para uma versão que inclua o commit selecionado.
Para a versão 2.6.3, atualize para uma versão que inclua o commit selecionado.
Para a versão 2.5.3, atualize para uma versão que inclua o commit selecionado.
Como solução alternativa temporária, considere desativar a função
BiasAndClamp até que um patch esteja disponível.Exploit
Correção
Divide By Zero
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow