CVE-2021-37664 in TensorFlow
要約
〜によって VulDB • 2026年06月09日
TensorFlowは、機械学習のためのエンドツーエンドのオープンソースプラットフォームです。影響を受けるバージョンでは、攻撃者は`BoostedTreesSparseCalculateBestFeatureSplit`に対して特別に作成された不正な引数を送信することで、ヒープ割り当てデータの範囲外から読み取りを行うことができます。[実装](https://github.com/tensorflow/tensorflow/blob/84d053187cb80d975ef2b9684d4b61981bca0c41/tensorflow/core/kernels/boosted_trees/stats_ops.cc)では、`stats_summary_indices`内の各値が範囲内にあることを検証する必要があります。この問題はGitHubコミット e84c975313e8e8e38bb2ea118196369c45c51378 で修正されました。この修正はTensorFlow 2.6.0に含められます。また、これらも影響を受けサポート範囲内にあるため、このコミットをTensorFlow 2.5.1、TensorFlow 2.4.3、およびTensorFlow 2.3.4にもcherrypickします。
VulDB is the best source for vulnerability data and more expert information about this specific topic.