Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los valores del argumento tensorial "num_segments" para "UnsortedSegmentJoin" en TensorFlow (CVE-2021-29552)
Gravedad:
BajaBaja
Publication date: 14/05/2021
Last modified:
18/05/2021
Descripción:
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. Un atacante puede causar una denegación de servicio al controlar los valores del argumento tensorial "num_segments" para "UnsortedSegmentJoin". Esto es debido a que la implementación (https://github.com/tensorflow/tensorflow/blob/a2a607db15c7cd01d754d37e5448d72a13491bdb/tensorflow/core/kernels/unsorted_segment_join_op.cc#L92-L93) asume que el tensor "num_segments" es un tensor válido. Dado que el tensor está vacío, el "CHECK" involucrado en ".scalar (T)()()" que comprueba que el número de elementos es exactamente 1 será invalidado y esto resultaría en una terminación del proceso. La corrección será incluída en TensorFlow versión 2.5.0. También seleccionaremos este commit en TensorFlow versión 2.4.2, TensorFlow versión 2.3.3, TensorFlow versión 2.2.3 y TensorFlow versión 2.1.4, ya que estos también están afectados y aún están en el rango admitido
Vulnerabilidad en la implementación de "MatrixTriangularSolve" en TensorFlow (CVE-2021-29551)
Gravedad:
BajaBaja
Publication date: 14/05/2021
Last modified:
18/05/2021
Descripción:
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. La implementación de "MatrixTriangularSolve" (https://github.com/tensorflow/tensorflow/blob/8cae746d8449c7dda5298327353d68613f16e798/tensorflow/core/kernels/linalg/matrix_triangular_solve_op_impl. La corrección será incluída en TensorFlow versión 2.5.0. También seleccionaremos este commit en TensorFlow versión 2.4.2, TensorFlow versión 2.3.3, TensorFlow versión 2.2.3 y TensorFlow versión 2.1.4, ya que estos también están afectados y aún están en el rango admitido
Vulnerabilidad en "tf.raw_ops.QuantizedBatchNormWithGlobalNormalization" en TensorFlow (CVE-2021-29549)
Gravedad:
BajaBaja
Publication date: 14/05/2021
Last modified:
18/05/2021
Descripción:
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. Un atacante puede causar una división del tiempo de ejecución por error cero y denegación de servicio en "tf.raw_ops.QuantizedBatchNormWithGlobalNormalization". Esto es debido a que la implementación (https://github.com/tensorflow/tensorflow/blob/6f26b3f3418201479c264f2a02000880d8df151c/tensorflow/core/kernels/quantized_add_op.cc#L289-L295) calcula una operación de módulo sin comprobar que el divisor no es cero. Dado que "vector_num_elements" se determina en función de las formas de entrada (https://github.com/tensorflow/tensorflow/blob/6f26b3f3418201479c264f2a02000880d8df151c/tensorflow/core/kernels/quantized_add_op.cc#L522-L544), un usuario puede desencadenar escenarios donde la catnidad es 0. La corrección será incluída en TensorFlow versión 2.5.0. También seleccionaremos este commit en TensorFlow 2.4.2, TensorFlow 2.3.3, TensorFlow 2.2

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: