CVE-2020-15199— Google TensorFlow 输入验证错误漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2020-15199の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Denial of Service in Tensorflow
ソース: NVD (National Vulnerability Database)
脆弱性説明
In Tensorflow before version 2.3.1, the `RaggedCountSparseOutput` does not validate that the input arguments form a valid ragged tensor. In particular, there is no validation that the `splits` tensor has the minimum required number of elements. Code uses this quantity to initialize a different data structure. Since `BatchedMap` is equivalent to a vector, it needs to have at least one element to not be `nullptr`. If user passes a `splits` tensor that is empty or has exactly one element, we get a `SIGABRT` signal raised by the operating system. The issue is patched in commit 3cbb917b4714766030b28eba9fb41bb97ce9ee02 and is released in TensorFlow version 2.3.1.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
输入验证不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Google TensorFlow 输入验证错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。 Tensorflow 2.3.1之前版本中存在安全漏洞,该漏洞源于RaggedCountSparseOutput不会验证输入参数是否形成有效的参差张量。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| tensorflow | tensorflow | = 2.3.0 | - |
II. CVE-2020-15199の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2020-15199のインテリジェンス情報
请登录查看更多情报信息。
- https://github.com/tensorflow/tensorflow/releases/tag/v2.3.1x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2020-15199
Same Patch Batch · tensorflow · 2020-09-25 · 25 CVEs total
| CVE-2020-15202 | 9.0 CRITICAL | Integer truncation in Shard API usage |
| CVE-2020-15205 | 9.0 CRITICAL | Data leak in Tensorflow |
| CVE-2020-15206 | 9.0 CRITICAL | Denial of Service in Tensorflow |
| CVE-2020-15207 | 8.7 HIGH | Segfault and data corruption in tensorflow-lite |
| CVE-2020-15196 | 8.5 HIGH | Heap buffer overflow in Tensorflow |
| CVE-2020-15195 | 8.5 HIGH | Heap buffer overflow in Tensorflow |
| CVE-2020-15212 | 8.1 HIGH | Out of bounds access in tensorflow-lite |
| CVE-2020-15214 | 8.1 HIGH | Out of bounds write in tensorflow-lite |
| CVE-2020-15203 | 7.5 HIGH | Denial of Service in Tensorflow |
| CVE-2020-15208 | 7.4 HIGH | Data corruption in tensorflow-lite |
| CVE-2020-15193 | 7.1 HIGH | Memory corruption in Tensorflow |
| CVE-2020-15210 | 6.5 MEDIUM | Segmentation fault in tensorflow-lite |
| CVE-2020-15197 | 6.3 MEDIUM | Denial of Service in Tensorflow |
| CVE-2020-15209 | 5.9 MEDIUM | Null pointer dereference in tensorflow-lite |
| CVE-2020-15200 | 5.9 MEDIUM | Segfault in Tensorflow |
| CVE-2020-15198 | 5.4 MEDIUM | Heap buffer overflow in Tensorflow |
| CVE-2020-15190 | 5.3 MEDIUM | Segfault in Tensorflow |
| CVE-2020-15191 | 5.3 MEDIUM | Undefined behavior in Tensorflow |
| CVE-2020-15204 | 5.3 MEDIUM | Segfault in Tensorflow |
| CVE-2020-15194 | 5.3 MEDIUM | Denial of Service in Tensorflow |
Showing 20 of 25 CVEs. View all on vendor page →
IV. 関連脆弱性
同じベンダー: tensorflow
- CVE-2026-2492
TensorFlow HDF5 Library Uncontrolled Search Path Element Loc - CVE-2023-33976
TensorFlow segfault in array_ops.upper_bound - CVE-2024-3660
Arbitrary code injection vulnerability in Keras framework < - CVE-2023-25661
Denial of Service in TensorFlow - CVE-2023-25660
TensorFlow vulnerable to seg fault in `tf.raw_ops.Print`
V. CVE-2020-15199へのコメント
まだコメントはありません