PT-2022-16081 · Google · Tensorflow

Mihaimaruseac

·

Publicado

2022-02-04

·

Atualizado

2024-03-06

·

CVE-2022-23565

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.8.0
As versões 2.7.1, 2.6.3 e 2.5.3 do TensorFlow também estão afetadas
Descrição
Um invasor pode provocar uma negação de serviço por meio de falha de asserção, alterando um SavedModel no disco de forma que os AttrDefs de alguma operação sejam duplicados.
Recomendações
Para versões anteriores à 2.8.0, atualize para o TensorFlow 2.8.0 ou posterior.
Para as versões 2.7.1, 2.6.3 e 2.5.3, atualize para as respectivas versões selecionadas.
Como solução temporária, considere restringir o acesso aos arquivos SavedModel para minimizar o risco de exploração.

Exploit

Correção

Assertion Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-617

Identificadores relacionados

BIT-TENSORFLOW-2022-23565
CVE-2022-23565
GHSA-4V5P-V5H9-6XJX
OPENSUSE-SU-2024:12116-1
PYSEC-2022-129
PYSEC-2022-74

Produtos afetados

Tensorflow