CVE-2021-37667 in TensorFlow
要約
〜によって VulDB • 2026年06月08日
TensorFlowは、機械学習のためのエンドツーエンドのオープンソースプラットフォームです。影響を受けるバージョンでは、攻撃者が `tf.raw_ops.UnicodeEncode` においてnullポインタへの参照をバインドすることで未定義の動作を引き起こすことができます。[実装](https://github.com/tensorflow/tensorflow/blob/460e000de3a83278fb00b61a16d161b1964f15f4/tensorflow/core/kernels/unicode_ops.cc#L533-L539)は、このテンソルが空でないことを検証する前に、`input_splits` テンソルの最初の次元を読み取ります。この問題はGitHubコミット 2e0ee46f1a47675152d3d865797a18358881d7a6 で修正されました。修正はTensorFlow 2.6.0に含められます。また、これらも影響を受けサポート範囲内にあるため、このコミットはTensorFlow 2.5.1、TensorFlow 2.4.3、およびTensorFlow 2.3.4にもcherrypickされます。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.