Vulnerabilità: CVE-2020-26271

Nelle versioni interessate di tensorflow sotto taluni casi, il caricamento di un modello salvato può comportare l’accesso alla memoria non inizializzata durante la creazione del grafico di calcolo. La funzione MakeEdge crea un arco tra un tensore uscita del nodo src (in output_index) e la fessura di ingresso del nodo dst (in input_index). Questo è possibile solo se i tipi di tensori su entrambi i lati coincidono, per cui la funzione inizia ottenendo i valori corrispondenti DataType e confrontando questi per uguaglianza. Tuttavia, non v’è alcun controllo che gli indici indicano all’interno delle matrici che indice in. Così, questo può provocare l’accesso ai dati fuori dai limiti dei corrispondenti matrici mucchio assegnati. Nella maggior parte degli scenari, questo può manifestarsi come l’accesso ai dati non inizializzate, ma se i punti di indice lontano dai confini delle matrici questo può essere usato a fuoriuscire indirizzi dalla libreria. Questo è stato risolto nelle versioni 1.15.5, 2.0.4, 2.1.3, 2.2.2, 2.3.2 e 2.4.0.


https://github.com/tensorflow/tensorflow/security/advisories/GHSA-q263-fvxm-m5mw
https://github.com/tensorflow/tensorflow/security/advisories/GHSA-q263-fvxm-m5mw
https://github.com/tensorflow/tensorflow/commit/0cc38aaa4064fd9e79101994ce9872c6d91f816b
https://github.com/tensorflow/tensorflow/commit/0cc38aaa4064fd9e79101994ce9872c6d91f816b
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26271


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi