9VSA21-00356-01 CSIRT informa vulnerabilidades obtenidas de TensorFlow

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por TensorFlow sobre nueve vulnerabilidades que afectan a su plataforma del mismo nombre.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2020-26266

CVE-2020-26267

CVE-2020-26268

CVE-2020-26270

CVE-2020-26271

CVE-2020-13790

CVE-2020-15250

CVE-2019-20838

CVE-2020-14155

Impacto

Se subsanaron vulnerabilidades que permitían la ejecución remota de código arbitrario, acceso a memoria sin inicializar, el abuso de la falta de validación de datos ingresados en múltiples componentes, escritura en memoria inmutable, entre otras. Cuatro de las mitigaciones consistieron en actualizar los componentes PCRE, junit, sqlite3 y libjpeg-turbo.

Productos Afectados

TensorFlow, versiones 1.0.0 a 2.3.1.

Mitigación

Instalar las actualizaciones desde el sitio del proveedor.

Enlaces

https://github.com/tensorflow/tensorflow/releases/tag/v2.3.2

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26266

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26267

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26268

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26270

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26271

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13790

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15250

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-20838

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14155

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00356-01

9VSA21-00356-01 CSIRT informa vulnerabilidades obtenidas de TensorFlow