- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
新华三攻防实验室
2021/8/23
TensorFlow是一个基于数据流编程(dataflow programming)的符号数学系统,被广泛应用于各类机器学习(machine learning)算法的编程实现,其前身是谷歌的神经网络算法库DistBelief。
近日新华三攻防实验室威胁预警团队监测到TensorFlow官方发布了安全更新,修复一处远程代码执行漏洞,漏洞编号为CVE-2021-37678,漏洞等级:严重,漏洞评分:8.8。
Keras 是一个用于构建和训练深度学习模型的高阶 API。它可用于快速设计原型、高级研究和生产,keras具有方便用户使用、模块化和可组合、易于扩展的优点。TensorFlow在处理YAML格式反序列化到Keras模型时未对输入数据做有效验证,远程攻击者通过构造恶意的YAML格式反序列化对象,从而远程执行任意命令或代码。
目前针对该漏洞利用的POC已经公开,受影响的用户请及时更新版本,漏洞利用成功的截图如下:
高危
Google TensorFlow <2.6.0
官方发布的新版本已经修复了此漏洞,请受影响的用户升级TensorFlow版本。补丁下载地址:
https://github.com/tensorflow/tensorflow/releases/tag/v2.6.0
1、新华三安全设备防护方案
新华三IPS规则库1.0.145版本将支持对该漏洞利用的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
