重庆小潘seo博客

当前位置:首页 > 重庆网络营销 > 小潘杂谈 >

小潘杂谈

云安全日报200928:谷歌TensorFlow机器学习开源平台发现重要漏洞

时间:2020-09-28 16:20:08 作者:重庆seo小潘 来源:
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。它拥有一个全面而灵活的生态系统,其中包含各种工具、库和社区资源,可助力研究人员推动先进机器学习技术的发展,并使开发者能够轻松地构建和部署由机器学习提供支持的应用。

Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。它拥有一个全面而灵活的生态系统,其中包含各种工具、库和社区资源,可助力研究人员推动先进机器学习技术的发展,并使开发者能够轻松地构建和部署由机器学习提供支持的应用。例如,著名Alphago,谷歌大脑就是基于TensorFlow实现的。不过,TensorFlow机器学习平台最近爆出了多个重要漏洞(部分是先前遗留未修复的),需要尽快升级。以下是漏洞详情:

漏洞详情

1.CVE-2020-15202 (官方暂未给定严重程度,下同)

TensorFlow中的`Shard` API期望最后一个参数是一个带有两个`int64'的函数(即long long `)参数。但是,在TensorFlow中有好几个地方都在使用带有int或int32参数的lambda。在这些情况下,如果要并行化的工作量足够大,则会发生整数截断。根据lambda的两个参数的使用方式,这可能导致段错误,在堆分配的数组之外进行读/写,堆栈溢出或数据损坏。

受影响产品和版本

此漏洞影响Tensorflow 1.15.4、2.0.3、2.1.2、2.2.1和2.3.1之前的版本

解决方案

升级到TensorFlow 1.15.4、2.0.3、2.1.2、2.2.1或2.3.1可修复漏洞。

2.CVE-2020-15198

该漏洞源于SparseCountSparseOutput实现无法验证输入参数是否形成有效的稀疏张量,该漏洞允许攻击者访问超出堆分配缓冲区的范围。

受影响产品和版本

此漏洞影响Tensorflow 2.3.0版本

解决方案

升级到TensorFlow2.3.1可修复。

3.CVE-2020-15194

该漏洞源于SparseFillEmptyRowsGrad实现对其参数形状的验证不完全,该漏洞允许攻击者可以传递错误的grad_values_t来触发vec中的断言失败,从而导致服务安装中的服务被拒绝。

受影响产品和版本

Tensorflow SparseFillEmptyRowsGrad 1.15.4之前版本, 2.0.3版本, 2.1.2版本, 2.2.1版本,2.3.1之前版本中存在安全漏洞

解决方案

升级到TensorFlow2.3.1可修复。

4.CVE-2020-15201

该漏洞源于RaggedCountSparseOutput不会验证输入参数是否形成有效的参差张量,该漏洞允许攻击者造成堆缓冲区溢出。

受影响产品和版本

Tensorflow 2.3.1之前版本中存在安全漏洞,

解决方案

升级到TensorFlow2.3.1可修复。

5.CVE-2020-15192

该漏洞允许攻击者造成内存泄漏问题。

受影响产品和版本

Tensorflow 2.2.1 , 2.3.1之前版本中存在安全漏洞,

解决方案

升级到TensorFlow2.3.1可修复。

查看更多漏洞信息 以及升级请访问github官网:

https://github.com/tensorflow/tensorflow/releases/tag/v2.3.1