云安全日报200928:谷歌TensorFlow机器学习开源平台发现重要漏洞
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。它拥有一个全面而灵活的生态系统,其中包含各种工具、库和社区资源,可助力研究人员推动先进机器学习技术的发展,并使开发者能够轻松地构建和部署由机器学习提供支持的应用。例如,著名Alphago,谷歌大脑就是基于TensorFlow实现的。不过,TensorFlow机器学习平台最近爆出了多个重要漏洞(部分是先前遗留未修复的),需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVE-2020-15202 (官方暂未给定严重程度,下同)
TensorFlow中的`Shard` API期望最后一个参数是一个带有两个`int64'的函数(即long long `)参数。但是,在TensorFlow中有好几个地方都在使用带有int或int32参数的lambda。在这些情况下,如果要并行化的工作量足够大,则会发生整数截断。根据lambda的两个参数的使用方式,这可能导致段错误,在堆分配的数组之外进行读/写,堆栈溢出或数据损坏。
受影响产品和版本
此漏洞影响Tensorflow 1.15.4、2.0.3、2.1.2、2.2.1和2.3.1之前的版本
解决方案
升级到TensorFlow 1.15.4、2.0.3、2.1.2、2.2.1或2.3.1可修复漏洞。
2.CVE-2020-15198
该漏洞源于SparseCountSparseOutput实现无法验证输入参数是否形成有效的稀疏张量,该漏洞允许攻击者访问超出堆分配缓冲区的范围。
受影响产品和版本
此漏洞影响Tensorflow 2.3.0版本
解决方案
升级到TensorFlow2.3.1可修复。
3.CVE-2020-15194
该漏洞源于SparseFillEmptyRowsGrad实现对其参数形状的验证不完全,该漏洞允许攻击者可以传递错误的grad_values_t来触发vec中的断言失败,从而导致服务安装中的服务被拒绝。
受影响产品和版本
Tensorflow SparseFillEmptyRowsGrad 1.15.4之前版本, 2.0.3版本, 2.1.2版本, 2.2.1版本,2.3.1之前版本中存在安全漏洞
解决方案
升级到TensorFlow2.3.1可修复。
4.CVE-2020-15201
该漏洞源于RaggedCountSparseOutput不会验证输入参数是否形成有效的参差张量,该漏洞允许攻击者造成堆缓冲区溢出。
受影响产品和版本
Tensorflow 2.3.1之前版本中存在安全漏洞,
解决方案
升级到TensorFlow2.3.1可修复。
5.CVE-2020-15192
该漏洞允许攻击者造成内存泄漏问题。
受影响产品和版本
Tensorflow 2.2.1 , 2.3.1之前版本中存在安全漏洞,
解决方案
升级到TensorFlow2.3.1可修复。
查看更多漏洞信息 以及升级请访问github官网:
https://github.com/tensorflow/tensorflow/releases/tag/v2.3.1