PT-2022-23082 · Google · Tensorflow
Di Jin
·
Publicado
2022-09-16
·
Atualizado
2024-03-06
·
CVE-2022-35984
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.10.0
Versões do TensorFlow 2.9.1 e anteriores
Versões do TensorFlow 2.8.1 e anteriores
Versões do TensorFlow 2.7.2 e anteriores
Descrição
O problema decorre do fato de
ParameterizedTruncatedNormal presumir que shape é do tipo int32, mas um shape válido do tipo int64 resulta em uma falha de tipo incompatível CHECK, que pode ser usada para desencadear um ataque de negação de serviço. Isso pode ser explorado fornecendo uma variável shape do tipo int64. O número estimado de dispositivos potencialmente afetados não foi especificado.Recomendações
Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior.
Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior.
Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior.
Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior.
Como solução temporária, considere evitar o uso de
ParameterizedTruncatedNormal com variáveis shape do tipo int64 até que um patch esteja disponível.Exploit
Correção
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow