PT-2022-26114 · Google · Tensorflow
Zizhuang Deng
·
Publicado
2022-11-18
·
Atualizado
2024-03-06
·
CVE-2022-41883
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.11
TensorFlow versão 2.10.1
TensorFlow versão 2.9.3
TensorFlow versão 2.8.4
Descrição
O problema ocorre quando operações com tamanhos de entrada especificados recebem um número diferente de entradas, causando a falha do executor. Isso é demonstrado na operação
tf.raw ops.DynamicStitch, que especifica os tamanhos de entrada no momento do registro. Quando recebe um número diferente de entradas, como ao ser chamada com um tamanho de indices igual a 1 e um tamanho de data igual a 2, ela falhará. O número estimado de dispositivos potencialmente afetados não é fornecido.Recomendações
Para versões do TensorFlow anteriores à 2.11, atualize para a versão 2.11 ou posterior.
Para a versão 2.10.1 do TensorFlow, aplique o patch do commit f5381e0e10b5a61344109c1b7c174c68110f7629 no GitHub ou atualize para uma versão posterior.
Para a versão 2.9.3 do TensorFlow, aplique o patch do commit f5381e0e10b5a61344109c1b7c174c68110f7629 no GitHub ou atualize para uma versão posterior.
Para a versão 2.8.4 do TensorFlow, aplique o patch do commit f5381e0e10b5a61344109c1b7c174c68110f7629 do GitHub ou atualize para uma versão mais recente.
Como solução alternativa temporária, considere evitar o uso da operação
tf.raw ops.DynamicStitch com tamanhos de entrada diferentes até que um patch seja aplicado ou a versão seja atualizada.Exploit
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow