Inicio / Alerta Temprana / Vulnerabilidades / CVE-2022-29208

Vulnerabilidad en la implementación de "tf.raw_ops.EditDistance" en TensorFlow (CVE-2022-29208)

Tipo: 
Escritura fuera de límites
Gravedad: 
Baja
Fecha publicación : 
20/05/2022
Última modificación: 
02/06/2022
Descripción
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En versiones anteriores a 2.9.0, 2.8.1, 2.7.2 y 2.6.4, la implementación de "tf.raw_ops.EditDistance" presenta una comprobación incompleta. Los usuarios pueden pasar valores negativos para causar una denegación de servicio basada en un fallo de segmentación. En múltiples lugares a lo largo del código, puede calcularse un índice para una operación de escritura. Sin embargo, la comprobación existente sólo comprueba el límite superior del array. Por lo tanto, es posible escribir antes de la matriz al masajear la entrada para generar valores negativos para "loc". Las versiones 2.9.0, 2.8.1, 2.7.2 y 2.6.4 contienen un parche para este problema
Impacto
Vector de acceso: Local
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:google:tensorflow:2.9.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.9.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.8.0:-:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:2.7.0:rc0:*:*:*:*:*:*
  • cpe:2.3:a:google:tensorflow:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos