Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la implementación de "tf.raw_ops.LSTMBlockCell" en TensorFlow (CVE-2022-29200)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/05/2022
Última modificación:
21/07/2023

Descripción

TensorFlow es una plataforma de código abierto para el aprendizaje automático. En versiones anteriores a 2.9.0, 2.8.1, 2.7.2 y 2.6.4, la implementación de "tf.raw_ops.LSTMBlockCell" no comprueba completamente los argumentos de entrada. Esto resulta en un fallo de "CHECK" que puede ser usado para desencadenar un ataque de denegación de servicio. El código no comprueba los rangos de ninguno de los argumentos de esta llamada a la API. Esto resulta en fallos de "CHECK" cuando son accedidos a los elementos del tensor. Las versiones 2.9.0, 2.8.1, 2.7.2 y 2.6.4 contienen un parche para este problema

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:* 2.6.4 (excluyendo)
cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:* 2.7.0 (incluyendo) 2.7.2 (excluyendo)
cpe:2.3:a:google:tensorflow:2.7.0:rc0:*:*:*:*:*:*
cpe:2.3:a:google:tensorflow:2.7.0:rc1:*:*:*:*:*:*
cpe:2.3:a:google:tensorflow:2.8.0:-:*:*:*:*:*:*
cpe:2.3:a:google:tensorflow:2.8.0:rc0:*:*:*:*:*:*
cpe:2.3:a:google:tensorflow:2.8.0:rc1:*:*:*:*:*:*
cpe:2.3:a:google:tensorflow:2.9.0:rc0:*:*:*:*:*:*
cpe:2.3:a:google:tensorflow:2.9.0:rc1:*:*:*:*:*:*