Inicio / Alerta Temprana / Vulnerabilidades / CVE-2022-29205

Vulnerabilidad en las operaciones "tf.compat.v1.*" en TensorFlow (CVE-2022-29205)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Baja
Fecha publicación : 
20/05/2022
Última modificación: 
02/06/2022
Descripción
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En versiones anteriores a 2.9.0, 2.8.1, 2.7.2 y 2.6.4, se presenta la posibilidad de que se produzca un fallo de seguridad o una denegación de servicio en TensorFlow al llamar a las operaciones "tf.compat.v1.*" que aún no presentan soporte para los tipos cuantificados, lo que fue añadido después de la migración a TensorFlow 2.x. En estos casos, al faltar el núcleo, es pasado un valor "nullptr" a "ParseDimensionValue" para el argumento "py_value". Entonces, este es desreferenciado, resultando en un segfault. Las versiones 2.9.0, 2.8.1, 2.7.2 y 2.6.4 contienen un parche para este problema
Impacto
Vector de acceso: Local
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + No hay impacto en la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:google:tensorflow:2.9.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.9.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:-:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.7.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos