Google TensorFlow代码问题漏洞

Google TensorFlow代码问题漏洞

 Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。

一、漏洞分析

公开日期：2020-09-30

漏洞编号：CNVD-2020-54781/CVE-2020-15193

危害等级：高危

漏洞描述：Tensorflow 2.2.1之前版本，2.3.1版本中存在安全漏洞，该漏洞源于pybind11粘合代码假定参数是张量，攻击者可利用该漏洞使dlpack.to_dlpack的实现使用未初始化的内存，从而导致进一步的内存损坏。

二、漏洞影响范围

 Google Google TensorFlow 2.3.1

 Google Google TensorFlow <2.2.1

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://github.com/tensorflow/tensorflow/releases/tag/v2.3.1