PT-2022-23087 · Google · Tensorflow

Jingyi Shi

·

Publicado

2022-09-16

·

Atualizado

2024-03-06

·

CVE-2022-35989

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.10.0
Versões do TensorFlow 2.9.1 e anteriores
Versões do TensorFlow 2.8.1 e anteriores
Versões do TensorFlow 2.7.2 e anteriores
Descrição
O problema ocorre quando a função MaxPool recebe um array de entrada de tamanho de janela ksize com dimensões maiores do que seu tensor de entrada input, fazendo com que o kernel da GPU retorne uma falha CHECK que pode ser usada para desencadear um ataque de negação de serviço. Não há soluções alternativas conhecidas para este problema.
Recomendações
Para versões anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior.
Para versões 2.9.1 e anteriores, atualize para o TensorFlow 2.9.1 ou posterior.
Para versões 2.8.1 e anteriores, atualize para o TensorFlow 2.8.1 ou posterior.
Para versões 2.7.2 e anteriores, atualize para o TensorFlow 2.7.2 ou posterior.
Como solução alternativa temporária, considere evitar o uso da função MaxPool com matrizes de entrada de tamanho de janela ksize que tenham dimensões maiores que o tensor de entrada input até que um patch esteja disponível.

Exploit

Correção

Assertion Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-617

Identificadores relacionados

BIT-TENSORFLOW-2022-35989
CVE-2022-35989
GHSA-J43H-PGMG-5HJQ
OPENSUSE-SU-2024:12355-1

Produtos afetados

Tensorflow