CVE-2020-15206 (CNNVD-202009-1612)

CRITICAL
中文标题:
Google TensorFlow 输入验证错误漏洞
英文标题:
Denial of Service in Tensorflow
CVSS分数: 9.0
发布时间: 2020-09-25 18:45:51
漏洞类型: 输入验证错误
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。 Tensorflow 1.15.4之前版本, 2.0.3版本, 2.1.2版本, 2.2.1版本,2.3.1版本中存在输入验证错误漏洞,该漏洞允许攻击者使用tensorflow-serving服务或其他分期付款的产品导致拒绝服务。

英文描述:

In Tensorflow before versions 1.15.4, 2.0.3, 2.1.2, 2.2.1 and 2.3.1, changing the TensorFlow's `SavedModel` protocol buffer and altering the name of required keys results in segfaults and data corruption while loading the model. This can cause a denial of service in products using `tensorflow-serving` or other inference-as-a-service installments. Fixed were added in commits f760f88b4267d981e13f4b302c437ae800445968 and fcfef195637c6e365577829c4d67681695956e7d (both going into TensorFlow 2.2.0 and 2.3.0 but not yet backported to earlier versions). However, this was not enough, as #41097 reports a different failure mode. The issue is patched in commit adf095206f25471e864a8e63a0f1caef53a0e3a6, and is released in TensorFlow versions 1.15.4, 2.0.3, 2.1.2, 2.2.1, or 2.3.1.

CWE类型:
CWE-20
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
tensorflow tensorflow < 1.15.4 - - cpe:2.3:a:tensorflow:tensorflow:<_1.15.4:*:*:*:*:*:*:*
tensorflow tensorflow >= 2.0.0, < 2.0.3 - - cpe:2.3:a:tensorflow:tensorflow:>=_2.0.0,_<_2.0.3:*:*:*:*:*:*:*
tensorflow tensorflow >= 2.1.0, < 2.1.2 - - cpe:2.3:a:tensorflow:tensorflow:>=_2.1.0,_<_2.1.2:*:*:*:*:*:*:*
tensorflow tensorflow >= 2.2.0, < 2.2.1 - - cpe:2.3:a:tensorflow:tensorflow:>=_2.2.0,_<_2.2.1:*:*:*:*:*:*:*
tensorflow tensorflow >= 2.3.0, < 2.3.1 - - cpe:2.3:a:tensorflow:tensorflow:>=_2.3.0,_<_2.3.1:*:*:*:*:*:*:*
google tensorflow * - - cpe:2.3:a:google:tensorflow:*:*:*:*:-:*:*:*
opensuse leap 15.2 - - cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_CONFIRM
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
openSUSE-SU-2020:1766 vendor-advisory
cve.org
访问
CVSS评分详情
3.1 (cna)
CRITICAL
9.0
CVSS向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
机密性
HIGH
完整性
HIGH
可用性
HIGH
时间信息
发布时间:
2020-09-25 18:45:51
修改时间:
2024-08-04 13:08:22
创建时间:
2025-11-11 15:36:05
更新时间:
2025-11-11 15:56:26
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2020-15206 2025-11-11 15:20:24 2025-11-11 07:36:05
NVD nvd_CVE-2020-15206 2025-11-11 14:57:03 2025-11-11 07:44:31
CNNVD cnnvd_CNNVD-202009-1612 2025-11-11 15:10:30 2025-11-11 07:56:26
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:56:26
vulnerability_type: 未提取 → 输入验证错误; cnnvd_id: 未提取 → CNNVD-202009-1612; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 输入验证错误
  • cnnvd_id: 未提取 -> CNNVD-202009-1612
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:44:31
affected_products_count: 5 → 7; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • affected_products_count: 5 -> 7
  • data_sources: ['cve'] -> ['cve', 'nvd']