Vulnerabilidad en Tensorflow (CVE-2022-23585)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/02/2022
Última modificación:
10/02/2022
Descripción
Tensorflow es un Marco de Aprendizaje Automático de Código Abierto. Cuando son decodificadas imágenes PNG TensorFlow puede producir una pérdida de memoria si la imagen no es válida. Después de llamar a "png::CommonInitDecode(..., &decode)", el valor de "decode" contiene buffers asignados que sólo pueden ser liberados llamando a "png::CommonFreeDecode(&decode)". Sin embargo, varios casos de error en la implementación de la función invocan la macro "OP_REQUIRES" que termina inmediatamente la ejecución de la función, sin permitir que se libere la memoria. La corrección será incluida en TensorFlow versión 2.8.0. También seleccionaremos este commit en TensorFlow versión 2.7.1, TensorFlow versión 2.6.3, y TensorFlow versión 2.5.3, ya que estos también están afectados y aún están en el rango admitido
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:* | 2.5.2 (incluyendo) | |
| cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.6.2 (incluyendo) |
| cpe:2.3:a:google:tensorflow:2.7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/tensorflow/tensorflow/blob/a1320ec1eac186da1d03f033109191f715b2b130/tensorflow/core/kernels/image/decode_image_op.cc#L322-L416
- https://github.com/tensorflow/tensorflow/commit/ab51e5b813573dc9f51efa335aebcf2994125ee9
- https://github.com/tensorflow/tensorflow/security/advisories/GHSA-fq6p-6334-8gr4