Vulnerabilidad en la implementación de "tf.raw_ops.QuantizeAndDequantizeV4Grad" en TensorFlow (CVE-2022-29192)
Tipo:
Validación incorrecta de entrada
Gravedad:
Baja
Fecha publicación :
20/05/2022
Última modificación:
02/06/2022
Descripción
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En versiones anteriores a 2.9.0, 2.8.1, 2.7.2 y 2.6.4, la implementación de "tf.raw_ops.QuantizeAndDequantizeV4Grad" no comprueba completamente los argumentos de entrada. Esto resulta en un fallo de "CHECK" que puede usarse para desencadenar un ataque de denegación de servicio. Las versiones 2.9.0, 2.8.1, 2.7.2 y 2.6.4 contienen un parche para este problema
Impacto
Vector de acceso: Local
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + No hay impacto en la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
- cpe:2.3:a:google:tensorflow:2.9.0:rc2:*:*:*:*:*:*
- cpe:2.3:a:google:tensorflow:2.9.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:google:tensorflow:2.9.0:rc0:*:*:*:*:*:*
- cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/tensorflow/tensorflow/blob/f3b9bf4c3c0597563b289c0512e98d4ce81f886e/tensorflow/core/kernels/quantize_and_dequantize_op.cc#L148-L226 (Origen: MISC)
- https://github.com/tensorflow/tensorflow/commit/098e7762d909bac47ce1dbabe6dfd06294cb9d58 (Origen: MISC)
- https://github.com/tensorflow/tensorflow/releases/tag/v2.6.4 (Origen: MISC)
- https://github.com/tensorflow/tensorflow/releases/tag/v2.7.2 (Origen: MISC)
- https://github.com/tensorflow/tensorflow/releases/tag/v2.8.1 (Origen: MISC)
- https://github.com/tensorflow/tensorflow/releases/tag/v2.9.0 (Origen: MISC)
- https://github.com/tensorflow/tensorflow/security/advisories/GHSA-h2wq-prv9-2f56 (Origen: CONFIRM)