PT-2022-23094 · Google · Tensorflow
Jingyi Shi
·
Publicado
2022-09-16
·
Atualizado
2024-03-06
·
CVE-2022-35996
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.10.0
Versões do TensorFlow da 2.9.0 à 2.9.0
Versões do TensorFlow da 2.8.0 à 2.8.0
Versões do TensorFlow da 2.7.0 à 2.7.1
Descrição
O problema ocorre quando a função
Conv2D recebe uma input vazia e tamanhos válidos de filter e padding, resultando em uma saída composta inteiramente por zeros. Isso causa exceções de ponto flutuante de divisão por zero que podem ser usadas para desencadear um ataque de negação de serviço.Recomendações
Para versões do TensorFlow anteriores à 2.10.0, atualize para o TensorFlow 2.10.0 ou posterior.
Para versões do TensorFlow 2.9.0, atualize para o TensorFlow 2.9.1 ou posterior.
Para versões do TensorFlow 2.8.0, atualize para o TensorFlow 2.8.1 ou posterior.
Para as versões 2.7.0 e 2.7.1 do TensorFlow, atualize para o TensorFlow 2.7.2 ou posterior.
Como solução temporária, considere evitar o uso da função
Conv2D com input vazio até que um patch esteja disponível.Exploit
Correção
Divide By Zero
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow