CVE-2021-37689 in TensorFlow
요약
\~에 의해 VulDB • 2026. 06. 26.
TensorFlow는 머신러닝을 위한 엔드투엔드 오픈소스 플랫폼입니다. 영향을 받는 버전에서 공격자는 null pointer dereference를 유발하는 TFLite 모델을 작성할 수 있으며, 이로 인해 크래시 및 서비스 거부(Denial of Service)가 발생합니다. 이 문제는 `L2NormalizeReduceAxis` 연산자에 대한 MLIR 최적화 과정에서 발생합니다. [구현부](https://github.com/tensorflow/tensorflow/blob/149562d49faa709ea80df1d99fc41d005b81082a/tensorflow/compiler/mlir/lite/transforms/optimize.cc#L67-L70)는 벡터에 요소가 있는지 확인하지 않고도 반복자(iterator) 포인터를 무조건적으로 역참조합니다. 이 문제는 GitHub 커밋 d6b57f461b39fd1aa8c1b870f1b974aac3554955에서 패치되었습니다. 해당 수정 사항은 TensorFlow 2.6.0에 포함될 예정입니다. 또한 영향을 받으며 여전히 지원 범위 내에 있는 TensorFlow 2.5.1, 2.4.3 및 2.3.4에도 이 커밋을 cherrypick하여 적용할 예정입니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.