본문 바로가기

Home > 정보마당 > 공개SW 보안취약점

공개SW 보안취약점

TensorFlow 2.4.1

License 관리자 게시글 작성 시각 2021-09-07 13:17:38
컴포넌트 명 : TensorFlow
컴포넌트에 대한 취약점 정보
버전 정보 취약점 ID 취약점 최종 보고일 심각도
2.4.1 CVE-2021-37678 2021/08/19 4.6 (Medium)
취약점 ID : CVE-2021-37678
취약점 상세정보
취약점 설명 TensorFlow is an end-to-end open source platform for machine learning. In affected versions TensorFlow and Keras can be tricked to perform arbitrary code execution when deserializing a Keras model from YAML format. The [implementation] uses `yaml.unsafe_load` which can perform arbitrary code execution on the input. Given that YAML format support requires a significant amount of work, we have removed it for now. We have patched the issue in GitHub commit 23d6383eb6c14084a8fc3bdf164043b974818012. The fix will be included in TensorFlow 2.6.0. We will also cherrypick this commit on TensorFlow 2.5.1, TensorFlow 2.4.3, and TensorFlow 2.3.4, as these are also affected and still in supported range.

TensorFlow는 머신 러닝을 위한 엔드 투 엔드 오픈 소스 플랫폼입니다. 영향을 받는 버전에서 TensorFlow 및 Keras는 YAML 형식에서 Keras 모델을 역직렬화할 때 임의 코드 실행을 수행하도록 속일 수 있습니다. [implementation]에서 입력에 대해 임의의 코드 실행을 수행할 수 있는 `yaml.safe_load`를 사용합니다. YAML 형식 지원에는 상당한 양의 작업이 필요하므로 지금은 제거했습니다. GitHub 커밋 23d6383eb6c14084a8fc3bdf164043b974818012에서 문제를 패치했습니다. 수정 사항은 TensorFlow 2.6.0에 포함될 것입니다. TensorFlow 2.5.1, TensorFlow 2.4.3 및 TensorFlow 2.3.4도 영향을 받고 여전히 지원되는 범위에 있으므로 이 커밋을 선택합니다.
대응 방안 2.4.4 이상 버전으로 업데이트
기타 -

[implementation] 링크

(https://github.com/tensorflow/tensorflow/blob/460e000de3a83278fb00b61a16d161b1964f15f4/tensorflow/python/keras/saving/model_config.py#L66-L104)

공개SW 보안취약점 - 번호, 컴포넌트 명 및 버전, 취약점ID, 심각도, 취약점 최종보고일, 대응방안
번호 컴포넌트 명 및 버전 취약점ID 심각도 취약점
최종 보고일
대응방안
167 istio 1.9.4 CVE-2021-31921 7.5 (High) 2021/07/30 대응방안보기
166 GoGo Protobuf 1.3.1 CVE-2021-3121 7.5 (High) 2021/10/18 대응방안보기
165 Apache Log4j2 2.14.1 CVE-2021-44228 10.0 (Critical) 2021/12/12 대응방안보기
164 aws-sdk-js 2.167.0 CVE-2020-28472 7.5 (High) 2021/01/28 대응방안보기
163 y18n 5.0.0 CVE-2020-7774 7.5 (High) 2021/07/21 대응방안보기
162 swiper 5.3.8 CVE-2021-23370 7.5 (High) 2021/04/19 대응방안보기
161 Apache Hadoop 2.6.0 CVE-2017-3162 7.5 (High) 2021/07/03 대응방안보기
160 Apache Velocity Engine 1.5 CVE-2020-13936 9.0 (Critical) 2021/09/23 대응방안보기
159 Apache Commons Beanutils 1.8.3 CVE-2019-10086 7.5 (High) 2021/10/20 대응방안보기
158 TensorFlow 2.4.1 CVE-2021-37678 4.6 (Medium) 2021/08/19 대응방안보기
맨 위로
맨 위로