Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una caché de compilación de XLA en Tensorflow (CVE-2022-23595)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476 Desreferencia a puntero nulo (NULL)
Fecha de publicación:
04/02/2022
Última modificación:
10/02/2022

Descripción

Tensorflow es un Marco de Aprendizaje Automático de Código Abierto. Cuando se construye una caché de compilación de XLA, si es usada la configuración predeterminada, TensorFlow desencadena una desreferencia de puntero null. En el escenario por defecto, son permitidos todos los dispositivos, por lo que "flr-)config_proto" es "nullptr". La corrección será incluida en TensorFlow versión 2.8.0. También seleccionaremos este commit en TensorFlow versión 2.7.1, TensorFlow versión 2.6.3, y TensorFlow versión 2.5.3, ya que estos también están afectados y aún están en el rango admitido

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:* 2.5.2 (incluyendo)
cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:* 2.6.0 (incluyendo) 2.6.2 (incluyendo)
cpe:2.3:a:google:tensorflow:2.7.0:*:*:*:*:*:*:*