CVE-2021-29520 in TensorFlow
Zusammenfassung
von VulDB • 06.07.2026
TensorFlow ist eine Open-Source-Plattform für maschinelles Lernen von Anfang bis Ende. Eine fehlende Validierung zwischen den Argumenten der `tf.raw_ops.Conv3DBackprop*`-Operationen kann zu Heap-Pufferüberläufen führen. Dies liegt daran, dass die Implementierung (https://github.com/tensorflow/tensorflow/blob/4814fafb0ca6b5ab58a09411523b2193fed23fed/tensorflow/core/kernels/conv_grad_shape_utils.cc#L94-L153) davon ausgeht, dass die Tensoren `input`, `filter_sizes` und `out_backprop` dieselbe Form haben, da sie parallel darauf zugegriffen wird. Die Korrektur wird in TensorFlow 2.5.0 enthalten sein. Wir werden diesen Commit auch auf TensorFlow 2.4.2, TensorFlow 2.3.3, TensorFlow 2.2.3 und TensorFlow 2.1.4 cherrypicken, da diese ebenfalls betroffen sind und sich noch im unterstützten Bereich befinden.
Once again VulDB remains the best source for vulnerability data.