Vulnerabilidad en TensorFlow (CVE-2022-41883)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
18/11/2022
Última modificación:
23/11/2022
Descripción
TensorFlow es una plataforma de código abierto para aprendizaje automático. Cuando las operaciones que tienen tamaños de entrada específicos reciben una cantidad diferente de entradas, el ejecutor fallará. Hemos solucionado el problema en el commit de GitHub f5381e0e10b5a61344109c1b7c174c68110f7629. La solución se incluirá en TensorFlow 2.11. También seleccionaremos este commit en TensorFlow 2.10.1, 2.9.3 y TensorFlow 2.8.4, ya que estos también se ven afectados y aún se encuentran en el rango admitido.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:google:tensorflow:2.10.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:google:tensorflow:2.10.0:rc0:*:*:*:*:*:* | ||
| cpe:2.3:a:google:tensorflow:2.10.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:google:tensorflow:2.10.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:google:tensorflow:2.10.0:rc3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/tensorflow/tensorflow/blob/master/tensorflow/core/kernels/dynamic_stitch_op.cc
- https://github.com/tensorflow/tensorflow/blob/master/tensorflow/core/ops/data_flow_ops.cc
- https://github.com/tensorflow/tensorflow/commit/f5381e0e10b5a61344109c1b7c174c68110f7629
- https://github.com/tensorflow/tensorflow/security/advisories/GHSA-w58w-79xv-6vcj