PT-2022-16087 · Google · Tensorflow

Mihaimaruseac

·

Publicado

2022-02-04

·

Atualizado

2024-03-06

·

CVE-2022-23570

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.8.0
Versões do TensorFlow 2.7.0 a 2.7.1
Versões do TensorFlow 2.6.0 a 2.6.3
Descrição
Ao decodificar um tensor do protobuf, o TensorFlow pode realizar uma desreferência nula se os atributos de alguns argumentos mutáveis de determinadas operações estiverem ausentes do proto. Esse problema é protegido por um DCHECK, que é uma operação nula em compilações de produção, permitindo que a execução prossiga para a desreferência do ponteiro nulo, e uma falha de asserção em compilações de depuração, resultando em uma falha no sistema.
Recomendações
Para versões anteriores à 2.8.0, atualize para o TensorFlow 2.8.0 ou posterior.
Para as versões 2.7.0 a 2.7.1, atualize para o TensorFlow 2.7.1 ou posterior.
Para as versões 2.6.0 a 2.6.3, atualize para o TensorFlow 2.6.3 ou posterior.

Exploit

Correção

NULL Pointer Dereference

Assertion Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476CWE-617

Identificadores relacionados

BIT-TENSORFLOW-2022-23570
CVE-2022-23570
GHSA-9P77-MMRW-69C7
OPENSUSE-SU-2024:12116-1
PYSEC-2022-134
PYSEC-2022-79

Produtos afetados

Tensorflow