CVE-2022-23566
Out of bounds write in Tensorflow
En resumen
TensorFlow tiene una vulnerabilidad de memoria donde un usuario malintencionado puede escribir datos más allá de los límites previstos de un array en el componente Grappler, potencialmente bloqueando la aplicación o ejecutando código malicioso.
Detalle técnico
Existe una vulnerabilidad de escritura fuera de los límites del heap en la función `set_output` de Grappler en TensorFlow, permitiendo que un atacante escriba en ubicaciones de memoria arbitrarias mediante entradas de grafo especialmente construidas. Requiere la capacidad de proporcionar entrada a la función afectada pero puede resultar en denegación de servicio o ejecución de código.
Resumen generado y traducido por IA a partir de la descripción oficial.
Tensorflow is an Open Source Machine Learning Framework. TensorFlow is vulnerable to a heap OOB write in `Grappler`. The `set_output` function writes to an array at the specified index. Hence, this gives a malicious user a write primitive. The fix will be included in TensorFlow 2.8.0. We will also cherrypick this commit on TensorFlow 2.7.1, TensorFlow 2.6.3, and TensorFlow 2.5.3, as these are also affected and still in supported range.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
tensorflow · tensorflow¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/tensorflow/tensorflow/blob/a1320ec1eac186da1d03f033109191f715b2b130/tensorflow/core/framework/shape_inference.h#L394https://github.com/tensorflow/tensorflow/blob/a1320ec1eac186da1d03f033109191f715b2b130/tensorflow/core/grappler/costs/graph_properties.cc#L1132-L1141https://github.com/tensorflow/tensorflow/commit/97282c6d0d34476b6ba033f961590b783fa184cdhttps://github.com/tensorflow/tensorflow/security/advisories/GHSA-5qw5-89mw-wcg2