CVE-2021-29605 in TensorFlow
요약
\~에 의해 VulDB • 2026. 07. 10.
TensorFlow는 머신러닝을 위한 엔드투엔드 오픈 소스 플랫폼입니다. `TFLiteIntArray`를 할당하기 위한 TFLite 코드가 정수 오버플로우 취약점(https://github.com/tensorflow/tensorflow/blob/4ceffae632721e52bf3501b736e4fe9d1221cdfa/tensorflow/lite/c/common.c#L24-L27)에 취약합니다. 공격자는 `size` 곱셈 연산 결과가 너무 커져서 반환값이 `int` 데이터 타입의 오버플로우를 일으키고 음수가 되도록 모델을 조작할 수 있습니다. 이로 인해 잘못된 값이 `malloc`(https://github.com/tensorflow/tensorflow/blob/4ceffae632721e52bf3501b736e4fe9d1221cdfa/tensorflow/lite/c/common.c#L47-L52)에 전달됩니다. 이 경우 `ret->size`가 유효하지 않은 포인터를 역참조하게 됩니다. 해당 수정 사항은 TensorFlow 2.5.0에 포함될 예정입니다. 또한TensorFlow 2.4.2, TensorFlow 2.3.3, TensorFlow 2.2.3 및 TensorFlow 2.1.4에서도 영향을 받으며 지원 범위 내에 있으므로 해당 커밋을 cherrypick하여 적용할 예정입니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.