PT-2022-23065 · Google · Tensorflow
Neophytos Christou
·
Publicado
2022-09-16
·
Atualizado
2024-03-06
·
CVE-2022-35966
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.10.0
Versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow
Descrição
O problema ocorre quando
QuantizedAvgPool recebe tensores min input ou max input de classificação diferente de zero, resultando em uma falha de segmentação que pode ser usada para desencadear um ataque de negação de serviço.Recomendações
Para versões do TensorFlow anteriores à 2.10.0, atualize para a versão 2.10.0 ou posterior.
Para as versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow, selecione o commit 7cdf9d4d2083b739ec81cfdace546b0c99f50622 para resolver o problema.
Como solução alternativa temporária, considere evitar o uso de
QuantizedAvgPool com tensores min input ou max input de classificação diferente de zero até que um patch esteja disponível.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow