CVE-2021-29544 - 漏洞详情

CVE-2021-29544 (CNNVD-202105-927)

LOW

中文标题:

TensorFlow 代码问题漏洞

英文标题:

CHECK-fail in `QuantizeAndDequantizeV4Grad`

CVSS分数: 2.5

发布时间: 2021-05-14 19:11:06

漏洞类型: 代码问题

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

TensorFlow是TensorFlow开源的一套用于机器学习的端到端开源平台。 TensorFlow存在代码问题漏洞，攻击者可利用该漏洞可以通过利用来自实现CHECK失败来导致拒绝服务。

英文描述:

TensorFlow is an end-to-end open source platform for machine learning. An attacker can trigger a denial of service via a `CHECK`-fail in `tf.raw_ops.QuantizeAndDequantizeV4Grad`. This is because the implementation does not validate the rank of the `input_*` tensors. In turn, this results in the tensors being passes as they are to `QuantizeAndDequantizePerChannelGradientImpl`. However, the `vec<T>` method, requires the rank to 1 and triggers a `CHECK` failure otherwise. The fix will be included in TensorFlow 2.5.0. We will also cherrypick this commit on TensorFlow 2.4.2 as this is the only other affected version.

CWE类型:

CWE-754

受影响产品

厂商	产品	版本	版本范围	平台	CPE
tensorflow	tensorflow	>= 2.4.0, < 2.4.2	-	-	`cpe:2.3:a:tensorflow:tensorflow:>=_2.4.0,_<_2.4.2:::::::*`
google	tensorflow	*	-	-	`cpe:2.3:a:google:tensorflow::::::::`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

https://github.com/tensorflow/tensorflow/security/advisories/GHSA-6g85-3hm8-83f9 x_refsource_CONFIRM
cve.org

访问

https://github.com/tensorflow/tensorflow/commit/20431e9044cf2ad3c0323c34888b192f3289af6b x_refsource_MISC
cve.org

访问

https://github.com/tensorflow/tensorflow/blob/95078c145b5a7a43ee046144005f733092756ab5/tensorflow/core/kernels/quantize_and_dequantize_op.cc#L162-L163 x_refsource_MISC
cve.org

访问

https://github.com/tensorflow/tensorflow/blob/95078c145b5a7a43ee046144005f733092756ab5/tensorflow/core/kernels/quantize_and_dequantize_op.h#L295-L306 x_refsource_MISC
cve.org

访问

CVSS评分详情

3.1 (cna)

LOW

2.5

CVSS向量: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L

机密性

NONE

完整性

NONE

可用性

LOW

时间信息

发布时间:

2021-05-14 19:11:06

修改时间:

2024-10-31 20:41:21

创建时间:

2025-11-11 15:36:48

更新时间:

2025-11-11 15:56:45

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2021-29544`	2025-11-11 15:20:55	2025-11-11 07:36:48
NVD	`nvd_CVE-2021-29544`	2025-11-11 14:57:37	2025-11-11 07:45:07
CNNVD	`cnnvd_CNNVD-202105-927`	2025-11-11 15:10:38	2025-11-11 07:56:45

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 15:56:45

vulnerability_type: 未提取 → 代码问题; cnnvd_id: 未提取 → CNNVD-202105-927; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 代码问题
cnnvd_id: 未提取 -> CNNVD-202105-927
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:45:07

affected_products_count: 1 → 2; data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

affected_products_count: 1 -> 2
data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2021-29544 (CNNVD-202105-927)

中文标题:

TensorFlow 代码问题漏洞

英文标题:

CHECK-fail in `QuantizeAndDequantizeV4Grad`

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

3.1 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史