CVE-2021-37689 in TensorFlowinformazioni

Riassunto

di VulDB • 17/06/2026

TensorFlow è una piattaforma open source end-to-end per il machine learning. Nelle versioni colpite, un attaccante può creare un modello TFLite in grado di innescare un dereferenziamento di puntatore nullo, causando un crash e un denial of service. Il problema è causato dall'ottimizzazione MLIR dell'operatore `L2NormalizeReduceAxis`. L'[implementazione](https://github.com/tensorflow/tensorflow/blob/149562d49faa709ea80df1d99fc41d005b81082a/tensorflow/compiler/mlir/lite/transforms/optimize.cc#L67-L70) dereferenzia incondizionatamente un puntatore a un iteratore su un vettore senza verificare che il vettore contenga elementi. L'issue è stata risolta nel commit GitHub d6b57f461b39fd1aa8c1b870f1b974aac3554955. La correzione sarà inclusa in TensorFlow 2.6.0. Effettueremo inoltre il cherrypick di questo commit su TensorFlow 2.5.1, TensorFlow 2.4.3 e TensorFlow 2.3.4, poiché queste versioni sono anch'esse colpite e ancora nel range di supporto.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

29/07/2021

Divulgazione

13/08/2021

Moderazione

accettato

CPE

pronto

EPSS

0.00165

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!