Podatność w komponencie oneflow.permute biblioteki OneFlow v0.9.1 powoduje nieprawidłowe obliczenia podczas wykonywania operacji na tej samej wymiarze. Błąd sklasyfikowany jako krytyczny może prowadzić do nieoczekiwanych i nieprawidłowych wyników obliczeń w środowiskach przetwarzania danych.
▸ Pokaż oryginał (EN)
An issue in the oneflow.permute component of OneFlow-Inc. Oneflow v0.9.1 causes an incorrect calculation when the same dimension operation is performed.
Podatność (CWE-682 — nieprawidłowe obliczenia) ujawnia się w komponencie oneflow.permute podczas wykonywania operacji permutacji na tym samym wymiarze tensora. Gdy użytkownik przekaże operację dotyczącą identycznego wymiaru, biblioteka wykonuje błędne obliczenia zamiast poprawnie obsłużyć taki przypadek. Szczegółowy dowód koncepcji (proof-of-concept) został opublikowany w zewnętrznym repozytorium GitHub.
Atakujący lub nieuprawniony użytkownik może doprowadzić do błędnych wyników obliczeń numerycznych, co może skutkować naruszeniem integralności danych przetwarzanych przez modele lub potoki obliczeniowe oparte na bibliotece OneFlow. W zależności od kontekstu zastosowania konsekwencje mogą obejmować nieprawidłowe działanie systemów uczenia maszynowego korzystających z tej biblioteki.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się sprawdzenie dostępności nowszej wersji biblioteki OneFlow oraz śledzenie oficjalnego repozytorium projektu w celu uzyskania informacji o poprawce.
OneFlow-Inc. Oneflow v0.9.1 — komponent oneflow.permute
Publiczny proof-of-concept dla tej podatności jest dostępny pod adresem wskazanym w referencjach (gist.github.com/Redmept1on). Pomimo oceny CVSS 9.8 (CRITICAL) podatność nie figuruje w katalogu CISA KEV.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOneflow
APPOneflow0.9.1
Powiązane podatności
A type validation flaw in the flow.dstack() component of OneFlow v0.9.0 allows attackers to cause a Denial of ...
A device-ID validation flaw in OneFlow v0.9.0 allows attackers to cause a Denial of Service (DoS) by calling f...
A shape mismatch vulnerability in OneFlow v0.9.0 allows attackers to cause a Denial of Service (DoS) via suppl...
A dimension validation flaw in the flow.empty() component of OneFlow 0.9.0 allows attackers to cause a Denial ...
A GPU device-ID validation flaw in OneFlow v0.9.0 allows attackers to trigger a Denial of Dervice (DoS) by inv...