exploitDog

GHSA-xqfj-cr6q-pc8w

Опубликовано: 21 мая 2021

Источник: github

Github: Прошло ревью

CVSS4: 2

CVSS3: 2.5

Описание

Crash in tf.transpose with complex inputs

Impact

Passing a complex argument to tf.transpose at the same time as passing conjugate=True argument results in a crash:

import tensorflow as tf tf.transpose(conjugate=True, a=complex(1))

Patches

We have received a patch for the issue in GitHub commit 1dc6a7ce6e0b3e27a7ae650bfc05b195ca793f88.

The fix will be included in TensorFlow 2.5.0. We will also cherrypick this commit on TensorFlow 2.4.2, TensorFlow 2.3.3, TensorFlow 2.2.3 and TensorFlow 2.1.4, as these are also affected and still in supported range.

For more information

Please consult our security guide for more information regarding the security model and how to contact us with issues and questions.

Attribution

This vulnerability has been reported in #42105 and fixed in #46973.

Ссылки

Пакеты

Наименование

tensorflow

pip

Затронутые версииВерсия исправления

< 2.1.4

2.1.4

Наименование

tensorflow

pip

Затронутые версииВерсия исправления

>= 2.2.0, < 2.2.3

2.2.3

Наименование

tensorflow

pip

Затронутые версииВерсия исправления

>= 2.3.0, < 2.3.3

2.3.3

Наименование

tensorflow

pip

Затронутые версииВерсия исправления

>= 2.4.0, < 2.4.2

2.4.2

Наименование

tensorflow-cpu

pip

Затронутые версииВерсия исправления

< 2.1.4

2.1.4

Наименование

tensorflow-cpu

pip

Затронутые версииВерсия исправления

>= 2.2.0, < 2.2.3

2.2.3

Наименование

tensorflow-cpu

pip

Затронутые версииВерсия исправления

>= 2.3.0, < 2.3.3

2.3.3

Наименование

tensorflow-cpu

pip

Затронутые версииВерсия исправления

>= 2.4.0, < 2.4.2

2.4.2

Наименование

tensorflow-gpu

pip

Затронутые версииВерсия исправления

< 2.1.4

2.1.4

Наименование

tensorflow-gpu

pip

Затронутые версииВерсия исправления

>= 2.2.0, < 2.2.3

2.2.3

Наименование

tensorflow-gpu

pip

Затронутые версииВерсия исправления

>= 2.3.0, < 2.3.3

2.3.3

Наименование

tensorflow-gpu

pip

Затронутые версииВерсия исправления

>= 2.4.0, < 2.4.2

2.4.2

EPSS

Процентиль: 15%

0.0005

Низкий

2 Low

CVSS4

2.5 Low

CVSS3

CVE ID

Дефекты

CWE-755

Связанные уязвимости

CVE-2021-29618

CVSS3: 2.5

nvd

больше 4 лет назад

TensorFlow is an end-to-end open source platform for machine learning. Passing a complex argument to `tf.transpose` at the same time as passing `conjugate=True` argument results in a crash. The fix will be included in TensorFlow 2.5.0. We will also cherrypick this commit on TensorFlow 2.4.2, TensorFlow 2.3.3, TensorFlow 2.2.3 and TensorFlow 2.1.4, as these are also affected and still in supported range.

CVE-2021-29618

CVSS3: 2.5

debian

больше 4 лет назад

TensorFlow is an end-to-end open source platform for machine learning. ...

EPSS

Процентиль: 15%

0.0005

Низкий

2 Low

CVSS4

2.5 Low

CVSS3

CVE ID

Дефекты

CWE-755