PT-2022-16110 · Google · Tensorflow

Mihaimaruseac

Publicado

2022-02-04

Atualizado

2024-03-06

CVE-2022-23593

CVSS v4.0

8.2

Alta

Vetor

AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Nome do software vulnerável e versões afetadas

TensorFlow versão 2.8.0

Descrição

A função simplifyBroadcast na infraestrutura MLIR-TFRT está vulnerável a uma falha de segmentação (segfault), resultando em uma negação de serviço, quando chamada com formas escalares. Se todas as formas forem escalares, o maxRank é 0, levando à construção de um SmallVector vazio.

Recomendações

Para o TensorFlow versão 2.8.0, atualize para uma versão que inclua a correção, que estará disponível na próxima versão. Como solução temporária, considere evitar o uso de formas escalares com a função simplifyBroadcast até que o patch seja aplicado.

Exploit

Correção

Improper Check for Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-754

Identificadores relacionados

BIT-TENSORFLOW-2022-23593

CVE-2022-23593

GHSA-GWCX-JRX4-92W2

PYSEC-2022-102

PYSEC-2022-157

Produtos afetados

Tensorflow

PT-2022-16110 · Google · Tensorflow

CVE-2022-23593

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 13