PT-2024-12453 · Google · Tensorflow
Dmc1778
·
Publicado
2024-07-30
·
Atualizado
2024-10-01
·
CVE-2023-33976
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do TensorFlow anteriores à 2.13
Versões do TensorFlow 2.12 e anteriores
Descrição
O problema é causado pela função
array ops.upper bound quando não recebe um tensor de grau 2, resultando em uma falha de segmentação. Não há estimativa do número de dispositivos potencialmente afetados em todo o mundo. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.Os detalhes técnicos sobre a exploração incluem:
array ops.upper boundcausa uma falha de segmentação quando não recebe um tensor de grau 2.
Recomendações
Para versões do TensorFlow anteriores à 2.13, atualize para a versão 2.13 ou posterior para resolver o problema.
Para versões do TensorFlow 2.12 e anteriores, atualize para a versão 2.12.1 ou posterior para resolver o problema.
Como solução temporária, considere evitar o uso de
array ops.upper bound com tensores que não sejam de grau 2 até que um patch esteja disponível.Exploit
Correção
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tensorflow