Vulnérabilité: CVE-2020-5215

Dans tensorflow avant 1.15.2 et 2.0.1, la conversion d’une chaîne (Python) à un résultat de valeur tf.float16 une erreur de segmentation en mode hâte que les contrôles de format pour ce cas d’utilisation sont uniquement en mode graphique. Ce problème peut conduire à un déni de service dans l’inférence / formation où un attaquant malveillant peut envoyer un point de données qui contient une chaîne au lieu d’une valeur tf.float16. Des effets similaires peuvent être obtenus en manipulant les modèles enregistrés et des points de contrôle par lequel le remplacement d’une valeur scalaire tf.float16 avec une chaîne scalaire déclenchera cette question en raison des conversions automatiques. Ceci peut être facilement reproduit par tf.constant ( « bonjour », tf.float16), si l’exécution est activée désireux. Ce problème est corrigé dans tensorflow 1.15.1 et 2.0.1 avec cette vulnérabilité patché. Tensorflow 2.1.0 a été libéré après que nous ayons résolu le problème, il est donc pas affectée. Les utilisateurs sont encouragés à passer à tensorflow 1.15.1, 2.0.1 ou 2.1.0.


https://github.com/tensorflow/tensorflow/security/advisories/GHSA-977j-xj7q-2jr9
https://github.com/tensorflow/tensorflow/commit/5ac1b9e24ff6afc465756edf845d2e9660bd34bf
https://github.com/tensorflow/tensorflow/releases/tag/v1.15.2
https://github.com/tensorflow/tensorflow/releases/tag/v2.0.1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5215


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire