9VSA21-00356-01 CSIRT informa vulnerabilidades obtenidas de TensorFlow
CSIRT comparte la información entregada por TensorFlow sobre nueve vulnerabilidades que afectan a su plataforma del mismo nombre.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por TensorFlow sobre nueve vulnerabilidades que afectan a su plataforma del mismo nombre.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2020-26266
CVE-2020-26267
CVE-2020-26268
CVE-2020-26270
CVE-2020-26271
CVE-2020-13790
CVE-2020-15250
CVE-2019-20838
CVE-2020-14155
Impacto
Se subsanaron vulnerabilidades que permitían la ejecución remota de código arbitrario, acceso a memoria sin inicializar, el abuso de la falta de validación de datos ingresados en múltiples componentes, escritura en memoria inmutable, entre otras. Cuatro de las mitigaciones consistieron en actualizar los componentes PCRE, junit, sqlite3 y libjpeg-turbo.
Productos Afectados
TensorFlow, versiones 1.0.0 a 2.3.1.
Mitigación
Instalar las actualizaciones desde el sitio del proveedor.
Enlaces
https://github.com/tensorflow/tensorflow/releases/tag/v2.3.2
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26266
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26267
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26268
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26270
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26271
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13790
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15250
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-20838
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14155
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00356-01