目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2022-29213— Google TensorFlow输入验证错误漏洞

CVSS 5.5 · Medium EPSS 0.11% · P28
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2022-29213の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Incomplete validation in signal ops leads to crashes in TensorFlow
ソース: NVD (National Vulnerability Database)
脆弱性説明
TensorFlow is an open source platform for machine learning. Prior to versions 2.9.0, 2.8.1, 2.7.2, and 2.6.4, the `tf.compat.v1.signal.rfft2d` and `tf.compat.v1.signal.rfft3d` lack input validation and under certain condition can result in crashes (due to `CHECK`-failures). Versions 2.9.0, 2.8.1, 2.7.2, and 2.6.4 contain a patch for this issue.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
输入验证不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Google TensorFlow输入验证错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。 Google TensorFlow 2.9.0之前版本、2.8.1之前版本、2.7.2之前版本和2.6.4之前版本存在输入验证错误漏洞,该漏洞源于tf.compat.v1.signal.rfft2d和tf.compat.v1.signal.rfft3d缺少输入验证。攻击者利用该漏洞可以实现应用崩溃。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
tensorflowtensorflow < 2.6.4 -

II. CVE-2022-29213の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2022-29213のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · tensorflow · 2022-05-20 · 24 CVEs total

CVE-2022-292167.8 HIGHCode injection in `saved_model_cli` in TensorFlow
CVE-2022-292087.1 HIGHSegfault and Out-of-bounds Write write due to incomplete validation in TensorFlow
CVE-2022-292065.5 MEDIUMMissing validation results in undefined behavior in `SparseTensorDenseAdd` in TensorFlow
CVE-2022-292105.5 MEDIUMHeap buffer overflow due to incorrect hash function in TensorFlow
CVE-2022-292095.5 MEDIUMType confusion leading to `CHECK`-failure based denial of service in TensorFlow
CVE-2022-292115.5 MEDIUMSegfault in TensorFlow if `tf.histogram_fixed_width` is called with NaN values
CVE-2022-292125.5 MEDIUMCore dump when loading TFLite models with quantization in TensorFlow
CVE-2022-292015.5 MEDIUMMissing validation in `QuantizedConv2D` results in undefined behavior in TensorFlow
CVE-2022-292025.5 MEDIUMDenial of service in TensorFlow due to lack of validation in `tf.ragged.constant`
CVE-2022-292035.5 MEDIUMInteger overflow in `SpaceToBatchND` in TensorFlow
CVE-2022-292045.5 MEDIUMMissing validation causes denial of service in TensorFlow via `Conv3DBackpropFilterV2`
CVE-2022-292055.5 MEDIUMSegfault due to missing support for quantized types in TensorFlow
CVE-2022-291925.5 MEDIUMMissing validation crashes `QuantizeAndDequantizeV4Grad` in TensorFlow
CVE-2022-292075.5 MEDIUMUndefined behavior when users supply invalid resource handles in TensorFlow
CVE-2022-291955.5 MEDIUMMissing validation causes denial of service in TensorFlow via `StagePeek`
CVE-2022-291975.5 MEDIUMMissing validation causes denial of service in TensorFlow via `UnsortedSegmentJoin`
CVE-2022-291965.5 MEDIUMMissing validation causes denial of service in TensorFlow via `Conv3DBackpropFilterV2`
CVE-2022-291985.5 MEDIUMMissing validation causes denial of service in TensorFlow via `SparseTensorToCSRSparseMatr
CVE-2022-291995.5 MEDIUMMissing validation causes denial of service in TensorFlow via `LoadAndRemapMatrix`
CVE-2022-292005.5 MEDIUMMissing validation causes denial of service in TensorFlow via `LSTMBlockCell`

Showing 20 of 24 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: tensorflow
同じベンダー: tensorflow
同じ弱点: CWE-20

V. CVE-2022-29213へのコメント

まだコメントはありません

コメントを残す