PT-2022-23070 · Google · Tensorflow
Neophytos Christou
+1
·
Publicado
2022-09-16
·
Atualizado
2024-03-06
·
CVE-2022-35971
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.10.0
Versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow
Descrição
O problema ocorre quando
FakeQuantWithMinMaxVars recebe tensores min ou max de classificação diferente de zero, resultando em uma falha CHECK que pode ser usada para desencadear um ataque de negação de serviço. Não há soluções alternativas conhecidas para este problema.Recomendações
Para versões do TensorFlow anteriores à 2.10.0, atualize para a versão 2.10.0 ou posterior.
Para as versões 2.9.1, 2.8.1 e 2.7.2 do TensorFlow, atualize para as respectivas versões corrigidas.
Como solução alternativa temporária, considere evitar o uso de
FakeQuantWithMinMaxVars com tensores min ou max de classificação diferente de zero até que uma correção esteja disponível.Exploit
Correção
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow