云安全日报200928:谷歌TensorFlow机器学习开源平台发现重要漏洞,需要尽快升级
|
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。它拥有一个全面而灵活的生态系统,其中包含各种工具、库和社区资源,可助力研究人员推动先进机器学习技术的发展,并使开发者能够轻松地构建和部署由机器学习提供支持的应用。例如,著名Alphago,谷歌大脑就是基于TensorFlow实现的。不过,TensorFlow机器学习平台最近爆出了多个重要漏洞(部分是先前遗留未修复的),需要尽快升级。以下是漏洞详情: 漏洞详情 1.CVE-2020-15202 (官方暂未给定严重程度,下同) TensorFlow中的`Shard` API期望最后一个参数是一个带有两个`int64'的函数(即long long `)参数。但是,在TensorFlow中有好几个地方都在使用带有int或int32参数的lambda。在这些情况下,如果要并行化的工作量足够大,则会发生整数截断。根据lambda的两个参数的使用方式,这可能导致段错误,在堆分配的数组之外进行读/写,堆栈溢出或数据损坏。 受影响产品和版本 此漏洞影响Tensorflow 1.15.4、2.0.3、2.1.2、2.2.1和2.3.1之前的版本 解决方案 升级到TensorFlow 1.15.4、2.0.3、2.1.2、2.2.1或2.3.1可修复漏洞。 2.CVE-2020-15198 该漏洞源于SparseCountSparseOutput实现无法验证输入参数是否形成有效的稀疏张量,该漏洞允许攻击者访问超出堆分配缓冲区的范围。 受影响产品和版本 此漏洞影响Tensorflow 2.3.0版本 解决方案 升级到TensorFlow2.3.1可修复。 3.CVE-2020-15194 该漏洞源于SparseFillEmptyRowsGrad实现对其参数形状的验证不完全,该漏洞允许攻击者可以传递错误的grad_values_t来触发vec中的断言失败,从而导致服务安装中的服务被拒绝。 受影响产品和版本 Tensorflow SparseFillEmptyRowsGrad 1.15.4之前版本, 2.0.3版本, 2.1.2版本, 2.2.1版本,2.3.1之前版本中存在安全漏洞 解决方案 升级到TensorFlow2.3.1可修复。 4.CVE-2020-15201 该漏洞源于RaggedCountSparseOutput不会验证输入参数是否形成有效的参差张量,该漏洞允许攻击者造成堆缓冲区溢出。 受影响产品和版本 Tensorflow 2.3.1之前版本中存在安全漏洞, 解决方案 升级到TensorFlow2.3.1可修复。 5.CVE-2020-15192 该漏洞允许攻击者造成内存泄漏问题。 受影响产品和版本 Tensorflow 2.2.1 , 2.3.1之前版本中存在安全漏洞, 解决方案 升级到TensorFlow2.3.1可修复。 查看更多漏洞信息 以及升级请访问github官网: https://github.com/tensorflow/tensorflow/releases/tag/v2.3.1 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
