Inicio / Alerta Temprana / Vulnerabilidades / CVE-2022-29203

Vulnerabilidad en la implementación de "tf.raw_ops.SpaceToBatchND" en TensorFlow (CVE-2022-29203)

Tipo: 
Desbordamiento o ajuste de enteros
Gravedad: 
Baja
Fecha publicación : 
20/05/2022
Última modificación: 
02/06/2022
Descripción
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En versiones anteriores a 2.9.0, 2.8.1, 2.7.2 y 2.6.4, la implementación de "tf.raw_ops.SpaceToBatchND" (en todos los backends como XLA y kernels manuscritos) es vulnerable a un desbordamiento de enteros: El resultado de este desbordamiento de enteros es usado para asignar el tensor de salida, por lo que es obtenido una denegación de servicio por medio de un fallo de "CHECK" (fallo de aserción), como en TFSA-2021-198. Las versiones 2.9.0, 2.8.1, 2.7.2 y 2.6.4 contienen un parche para este problema
Impacto
Vector de acceso: Local
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + No hay impacto en la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:google:tensorflow:2.9.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.9.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:-:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.7.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos