VDB-200484 · CVE-2022-29192 · GHSA-h2wq-prv9-2f56

Google TensorFlow 直到 2.6.3/2.7.1/2.8.0 tf.raw_ops.QuantizeAndDequantizeV4Grad 拒绝服务

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
4.2	$0-$5k	0.00

摘要信息

在Google TensorFlow 直到 2.6.3/2.7.1/2.8.0中曾发现分类为棘手的漏洞。受此漏洞影响的是功能tf.raw_ops.QuantizeAndDequantizeV4Grad。手动调试的不合法输入可导致拒绝服务。该漏洞被标识为CVE-2022-29192，可以发起远程攻击，不存在可用的漏洞利用。建议对受到影响的组件升级。

在Google TensorFlow 直到 2.6.3/2.7.1/2.8.0中曾发现分类为棘手的漏洞。受此漏洞影响的是功能tf.raw_ops.QuantizeAndDequantizeV4Grad。手动调试的不合法输入可导致拒绝服务。通过 CWE 声明此问题将指向 CWE-404。此漏洞的脆弱性 2022-05-22公示人身份GHSA-h2wq-prv9-2f56、所披露。您可以在 github.com 下载该通告。

该漏洞被标识为CVE-2022-29192， CVE分配信息格式：2022-04-13。可以发起远程攻击，技术细节已提供。攻击复杂性相当高。该漏洞的利用被认为较为困难。该漏洞的知名度低于平均水平，不存在可用的漏洞利用。当前，大致为 USD $0-$5k。 MITRE ATT&CK 项目将攻击技术声明为 T1499。

它被宣布为未定义。 0日漏洞的地下市场估价大致为$5k-$25k。

升级到版本2.6.4, 2.7.2, 2.8.1 , 2.9.0能够解决此问题。您可以在github.com下载最新版本。补丁名称为098e7762d909bac47ce1dbabe6dfd06294cb9d58。您可以在github.com下载该漏洞修复补丁。建议对受到影响的组件升级。