Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en "CHECK" en "tf.raw_ops.QuantizeAndDequantizeV4Grad" en TensorFlow (CVE-2021-29544)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2021
Última modificación:
31/10/2024

Descripción

TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. Un atacante puede desencadenar una denegación de servicio por medio de "CHECK" en "tf.raw_ops.QuantizeAndDequantizeV4Grad". Esto es debido a que la implementación (https://github.com/tensorflow/tensorflow/blob/95078c145b5a7a43ee046144005f733092756ab5/tensorflow/core/kernels/quantize_and_dequantize_op.cc#L162-L163) no comprueba el rango de los tensores "input_ *". A su vez, esto resulta en que los tensores pasen tal como están a "QuantizeAndDequantizePerChannelGradientImpl" (https://github.com/tensorflow/tensorflow/blob/95078c145b5a7a43ee046144005f733092756ab5/tensorflow/core/kernels/quantize_and_op. Sin embargo, el método "vec(T)" requiere el rango de 1 y, de lo contrario, desencadena un fallo "CHECK". La corrección será incluida en TensorFlow versión 2.5.0.También seleccionaremos este commit en TensorFlow versión 2.4.2, TensorFlow versión 2.3.3, TensorFlow versión 2.2.3 y TensorFlow versión 2.1.4, ya que estos también están afectados y aún están en el rango compatible

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:* 2.4.0 (incluyendo) 2.4.2 (excluyendo)