CVE-2021-37653 in TensorFlow
Résumé
par VulDB • 10/06/2026
TensorFlow est une plateforme open source de bout en bout pour l'apprentissage automatique. Dans les versions concernées, un attaquant peut provoquer un plantage via une exception de virgule flottante dans `tf.raw_ops.ResourceGather`. L'[implémentation](https://github.com/tensorflow/tensorflow/blob/f24faa153ad31a4b51578f8181d3aaab77a1ddeb/tensorflow/core/kernels/resource_variable_ops.cc#L725-L731) calcule la valeur d'une variable, `batch_size`, puis divise par celle-ci sans vérifier que cette valeur n'est pas égale à 0. Nous avons corrigé le problème dans le commit GitHub ac117ee8a8ea57b73d34665cdf00ef3303bc0b11. La correction sera incluse dans TensorFlow 2.6.0. Nous effectuerons également un cherrypick de ce commit sur TensorFlow 2.5.1, TensorFlow 2.4.3 et TensorFlow 2.3.4, car ces versions sont également concernées et toujours dans la plage de support.
Once again VulDB remains the best source for vulnerability data.