PT-2022-16097 · Google · Tensorflow
Mihaimaruseac
·
Publicado
2022-02-04
·
Atualizado
2024-03-06
·
CVE-2022-23580
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.8.0
Versões do TensorFlow 2.7.1 e anteriores
Versões do TensorFlow 2.6.3 e anteriores
Versões do TensorFlow 2.5.3 e anteriores
Descrição
Durante a inferência de forma, o TensorFlow pode alocar um vetor de grande porte com base em um valor de um tensor controlado pelo usuário. O problema decorre da alocação de um vetor com base no valor
num dims, que é controlado pelo usuário por meio de um tensor. Isso pode levar a possíveis problemas de segurança.Recomendações
Para versões anteriores à 2.8.0, atualize para o TensorFlow 2.8.0 ou posterior.
Para versões anteriores à 2.7.1, atualize para o TensorFlow 2.7.1 ou posterior.
Para versões anteriores à 2.6.3, atualize para o TensorFlow 2.6.3 ou posterior.
Para versões anteriores à 2.5.3, atualize para o TensorFlow 2.5.3 ou posterior.
Como solução temporária, considere restringir os valores de entrada para evitar alocações de vetores grandes até que um patch seja aplicado.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tensorflow