TensorFlow 2.4.1
License 관리자
게시글 작성 시각 2021-09-07 13:17:38
컴포넌트 명 : TensorFlow
버전 정보 | 취약점 ID | 취약점 최종 보고일 | 심각도 |
---|---|---|---|
2.4.1 | CVE-2021-37678 | 2021/08/19 | 4.6 (Medium) |
취약점 ID : CVE-2021-37678
취약점 설명 | TensorFlow is an end-to-end open source platform for machine learning. In affected versions TensorFlow and Keras can be tricked to perform arbitrary code execution when deserializing a Keras model from YAML format. The [implementation] uses `yaml.unsafe_load` which can perform arbitrary code execution on the input. Given that YAML format support requires a significant amount of work, we have removed it for now. We have patched the issue in GitHub commit 23d6383eb6c14084a8fc3bdf164043b974818012. The fix will be included in TensorFlow 2.6.0. We will also cherrypick this commit on TensorFlow 2.5.1, TensorFlow 2.4.3, and TensorFlow 2.3.4, as these are also affected and still in supported range. TensorFlow는 머신 러닝을 위한 엔드 투 엔드 오픈 소스 플랫폼입니다. 영향을 받는 버전에서 TensorFlow 및 Keras는 YAML 형식에서 Keras 모델을 역직렬화할 때 임의 코드 실행을 수행하도록 속일 수 있습니다. [implementation]에서 입력에 대해 임의의 코드 실행을 수행할 수 있는 `yaml.safe_load`를 사용합니다. YAML 형식 지원에는 상당한 양의 작업이 필요하므로 지금은 제거했습니다. GitHub 커밋 23d6383eb6c14084a8fc3bdf164043b974818012에서 문제를 패치했습니다. 수정 사항은 TensorFlow 2.6.0에 포함될 것입니다. TensorFlow 2.5.1, TensorFlow 2.4.3 및 TensorFlow 2.3.4도 영향을 받고 여전히 지원되는 범위에 있으므로 이 커밋을 선택합니다. |
---|---|
대응 방안 | 2.4.4 이상 버전으로 업데이트 |
기타 | - |
[implementation] 링크
(https://github.com/tensorflow/tensorflow/blob/460e000de3a83278fb00b61a16d161b1964f15f4/tensorflow/python/keras/saving/model_config.py#L66-L104)
번호 | 컴포넌트 명 및 버전 | 취약점ID | 심각도 |
취약점 최종 보고일 |
대응방안 |
---|---|---|---|---|---|
167 | istio 1.9.4 | CVE-2021-31921 | 7.5 (High) | 2021/07/30 | |
166 | GoGo Protobuf 1.3.1 | CVE-2021-3121 | 7.5 (High) | 2021/10/18 | |
165 | Apache Log4j2 2.14.1 | CVE-2021-44228 | 10.0 (Critical) | 2021/12/12 | |
164 | aws-sdk-js 2.167.0 | CVE-2020-28472 | 7.5 (High) | 2021/01/28 | |
163 | y18n 5.0.0 | CVE-2020-7774 | 7.5 (High) | 2021/07/21 | |
162 | swiper 5.3.8 | CVE-2021-23370 | 7.5 (High) | 2021/04/19 | |
161 | Apache Hadoop 2.6.0 | CVE-2017-3162 | 7.5 (High) | 2021/07/03 | |
160 | Apache Velocity Engine 1.5 | CVE-2020-13936 | 9.0 (Critical) | 2021/09/23 | |
159 | Apache Commons Beanutils 1.8.3 | CVE-2019-10086 | 7.5 (High) | 2021/10/20 | |
158 | TensorFlow 2.4.1 | CVE-2021-37678 | 4.6 (Medium) | 2021/08/19 |