CVE-2021-37689 in TensorFlowinfo

Zusammenfassung

von VulDB • 17.06.2026

TensorFlow ist eine Open-Source-Plattform für maschinelles Lernen von Anfang bis Ende. In betroffenen Versionen kann ein Angreifer ein TFLite-Modell erstellen, das eine Dereferenzierung eines Nullzeigers auslöst, was zu einem Absturz und einem Denial of Service (DoS) führt. Dies wird durch die MLIR-Optimierung des Operators `L2NormalizeReduceAxis` verursacht. Die [Implementierung](https://github.com/tensorflow/tensorflow/blob/149562d49faa709ea80df1d99fc41d005b81082a/tensorflow/compiler/mlir/lite/transforms/optimize.cc#L67-L70) dereferenziert bedingungslos einen Zeiger auf einen Iterator zu einem Vektor, ohne zu prüfen, ob der Vektoren Elemente enthält. Das Problem wurde im GitHub-Commit d6b57f461b39fd1aa8c1b870f1b974aac3554955 behoben. Die Korrektur wird in TensorFlow 2.6.0 enthalten sein. Wir werden diesen Commit außerdem in TensorFlow 2.5.1, TensorFlow 2.4.3 und TensorFlow 2.3.4 cherrypicken, da diese Versionen ebenfalls betroffen sind und sich noch im unterstützten Bereich befinden.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

29.07.2021

Veröffentlichung

13.08.2021

Moderieren

akzeptiert

Eintrag

VDB-180783

CPE

bereit

EPSS

0.00165

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!