Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la herramienta "saved_model_cli" en TensorFlow (CVE-2021-41228)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
10/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, la herramienta "saved_model_cli" de TensorFlow es vulnerable a una inyección de código ya que llama a "eval" sobre cadenas suministradas por el usuario. Esto puede ser usado por atacantes para ejecutar código arbitrario en la plataforma donde es ejecutada la herramienta CLI. Sin embargo, dado que la herramienta siempre es ejecutada manualmente, el impacto de esto no es grave. Hemos corregido esto añadiendo una bandera "safe" que por defecto es "True" y una advertencia explícita para usuarios. La corrección será incluida en TensorFlow versión 2.7.0. También seleccionaremos este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también se ven afectados y todavía están en el rango admitido
Vulnerabilidad en la operación "ImmutableConst" en TensorFlow (CVE-2021-41227)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
10/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas la operación "ImmutableConst" en TensorFlow puede ser engañada para leer contenidos de memoria arbitrarios. Esto es debido a que la clase de cadena "tstring" de TensorFlow presenta un caso especial para cadenas mapeadas en memoria, pero la operación en sí no ofrece ningún soporte para este tipo de datos. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en el optimizador Grappler en TensorFlow (CVE-2021-41225)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
10/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas el optimizador Grappler de TensorFlow presenta un uso de variable unitializada. Si el vector "train_nodes" (obtenido del modelo guardado que se optimiza) no contiene un nodo "Dequeue", entonces "dequeue_node" queda sin inicializar. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en la implementación de "SplitV" en TensorFlow (CVE-2021-41222)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
10/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas la implementación de "SplitV" puede desencadenar un segfault si un atacante suministra argumentos negativos. Esto ocurre cuando "size_splits" contiene más de un valor y al menos uno de ellos es negativo. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en el código de inferencia de formas para las operaciones "Cudnn*" en TensorFlow (CVE-2021-41221)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
10/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, el código de inferencia de formas para las operaciones "Cudnn*" en TensorFlow puede ser engañado para acceder a memoria no válida, por medio de un desbordamiento del buffer de la pila. Esto ocurre porque los rangos de los parámetros "input", "input_h" y "input_c" no son comprobados, sino que el código asume que presentan ciertos valores. La corrección será incluida en TensorFlow versión 2.7.0. También será incluida este commit en TensorFlow versión 2.6.1, TensorFlow versión 2.5.2, y TensorFlow versión 2.4.4, ya que estos también están afectados y todavía están en el rango admitido
Vulnerabilidad en la implementación asíncrona de "CollectiveReduceV2" en TensorFlow (CVE-2021-41220)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
10/11/2021
Descripción:
TensorFlow es una plataforma de código abierto para el aprendizaje automático. En las versiones afectadas, la implementación asíncrona de "CollectiveReduceV2" sufre una perdida de memoria y un uso de memoria previamente liberada. Esto ocurre debido al cálculo asíncrono y al hecho de que se sigue accediendo a los objetos que han sido "std::move()"d. La corrección será incluida en TensorFlow versión 2.7.0. También seleccionaremos este commit en TensorFlow versión 2.6.1, ya que esta versión es la única que también está afectada

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: