CVE-2022-23566
Out of bounds write in Tensorflow
Em resumo
O TensorFlow possui uma falha de memória onde um usuário mal-intencionado pode escrever dados além dos limites de um array no componente Grappler, podendo derrubar a aplicação ou executar código malicioso.
Detalhe técnico
Uma vulnerabilidade de escrita fora dos limites da heap existe na função `set_output` do Grappler no TensorFlow, permitindo que um atacante escreva em locais arbitrários de memória através de entradas de grafo especialmente construídas. Requer capacidade de fornecer entrada para a função afetada, mas pode resultar em negação de serviço ou execução de código.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Tensorflow is an Open Source Machine Learning Framework. TensorFlow is vulnerable to a heap OOB write in `Grappler`. The `set_output` function writes to an array at the specified index. Hence, this gives a malicious user a write primitive. The fix will be included in TensorFlow 2.8.0. We will also cherrypick this commit on TensorFlow 2.7.1, TensorFlow 2.6.3, and TensorFlow 2.5.3, as these are also affected and still in supported range.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
tensorflow · tensorflowQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/tensorflow/tensorflow/blob/a1320ec1eac186da1d03f033109191f715b2b130/tensorflow/core/framework/shape_inference.h#L394https://github.com/tensorflow/tensorflow/blob/a1320ec1eac186da1d03f033109191f715b2b130/tensorflow/core/grappler/costs/graph_properties.cc#L1132-L1141https://github.com/tensorflow/tensorflow/commit/97282c6d0d34476b6ba033f961590b783fa184cdhttps://github.com/tensorflow/tensorflow/security/advisories/GHSA-5qw5-89mw-wcg2