CVE-2021-37653 in TensorFlow
Tóm tắt
Bởi VulDB • 10/06/2026
TensorFlow là một nền tảng mã nguồn mở end-to-end cho machine learning. Trong các phiên bản bị ảnh hưởng, kẻ tấn công có thể gây ra lỗi crash thông qua một ngoại lệ dấu phẩy động (floating point exception) trong `tf.raw_ops.ResourceGather`. Phần [implementation](https://github.com/tensorflow/tensorflow/blob/f24faa153ad31a4b51578f8181d3aaab77a1ddeb/tensorflow/core/kernels/resource_variable_ops.cc#L725-L731) tính toán giá trị của một biến, `batch_size`, sau đó thực hiện phép chia cho giá trị này mà không kiểm tra xem giá trị đó có khác 0 hay không. Chúng tôi đã vá lỗi này trong commit GitHub ac117ee8a8ea57b73d34665cdf00ef3303bc0b11. Bản sửa lỗi sẽ được đưa vào TensorFlow 2.6.0. Chúng tôi cũng sẽ cherrypick commit này lên TensorFlow 2.5.1, TensorFlow 2.4.3 và TensorFlow 2.3.4, vì các phiên bản này cũng bị ảnh hưởng và vẫn nằm trong phạm vi được hỗ trợ.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.