Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el código de inferencia de formas para "AllToAll" en TensorFlow (CVE-2021-41218)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, el código de inferencia de formas para "AllToAll" puede hacer que se ejecute una división por 0. Esto ocurre siempre que el argumento "split_count" sea 0. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en las versiones afectadas, las implementaciones de los operadores de convolución en TensorFlow (CVE-2021-41209)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, las implementaciones de los operadores de convolución provocan una división por 0 si son pasados argumentos de tensor de filtro vacíos. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en el código de los árboles potenciados en TensorFlow (CVE-2021-41208)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, el código de los árboles potenciados en TensorFlow sigue sin ser comprendido por la comprobación. Como resultado, los atacantes pueden desencadenar una denegación de servicio (por medio de la desreferenciación de "nullptr"s o a través de fallos de "CHECK") así como abusar de un comportamiento indefinido (vinculando referencias a "nullptr"s). Un atacante también puede leer y escribir desde los buffers de la pila, dependiendo de la API que es usada y los argumentos que son pasados a la llamada. Dado que la implementación de boosted trees en TensorFlow no es mantenida, es recomendado no seguir usando estas APIs. Dejaremos de usar las APIs de árboles potenciados de TensorFlow en versiones posteriores. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en la implementación de "ParallelConcat" en TensorFlow (CVE-2021-41207)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, la implementación de "ParallelConcat" falla en la comprobación de la entrada y puede producir una división por 0. La corrección será incluida en TensorFlow versión 2.7.0. También vamos a incluir este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía en el rango admitido
Vulnerabilidad en las formas de los argumentos del tensor involucrados en la llamada en TensorFlow (CVE-2021-41206)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, varias operaciones de TensorFlow no comprueban las formas de los argumentos del tensor involucrados en la llamada. Dependiendo de la API, esto puede resultar en un comportamiento indefinido y a caídas relacionadas con segfault o "CHECK"-fail, pero en algunos escenarios también son posibles las escrituras y lecturas de arrays poblados por la pila. Hemos detectado estos problemas internamente por medio de herramientas mientras trabajábamos en mejorar/probar el determinismo de las operaciones de la GPU. Por lo tanto, no tenemos reproductores y habrá múltiples correcciones para estos problemas. Estas correcciones serán incluidas en TensorFlow versión 2.7.0. También vamos a recoger estos commits en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía en el rango admitido
Vulnerabilidad en "tf.summary.create_file_writer" en TensorFlow (CVE-2021-41200)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, si se llama a "tf.summary.create_file_writer" con argumentos no escalares, el código es bloqueado debido a un fallo de "CHECK". La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en "tf.image.resize" en TensorFlow (CVE-2021-41199)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, si se llama a "tf.image.resize" con un argumento de entrada grande, el proceso de TensorFlow será bloqueado debido a un fallo de "CHECK" causado por un desbordamiento. El número de elementos en el tensor de salida es demasiado para el tipo "int64_t" y el desbordamiento es detectado por medio de una sentencia "CHECK". Esto aborta el proceso. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en FusionPBX (CVE-2021-43406)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
Se ha detectado un problema en FusionPBX versiones anteriores a 4.5.30. El fax_post_size puede tener caracteres arriesgados (no está restringido a valores preestablecidos)
Vulnerabilidad en fax_extension en FusionPBX (CVE-2021-43405)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
Se ha detectado un problema en FusionPBX versiones anteriores a 4.5.30. El fax_extension puede tener caracteres de riesgo (no está restringido a ser numérico)
Vulnerabilidad en el nombre del archivo FAX en FusionPBX (CVE-2021-43404)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
Se ha detectado un problema en FusionPBX versiones anteriores a 4.5.30. El nombre del archivo FAX puede tener caracteres de riesgo
Vulnerabilidad en OWASP ModSecurity Core Rule Set (CVE-2021-35368)
Gravedad:
AltaAlta
Publication date: 05/11/2021
Last modified:
09/11/2021
Descripción:
OWASP ModSecurity Core Rule Set versiones 3.1.x anteriores a 3.1.2, 3.2.x anteriores a 3.2.1 y 3.3.x anteriores a 3.3.2, está afectado por un desvío del cuerpo de la petición por medio de un nombre de ruta final

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: