2024年6月28日,网上更新披露了一个Ollama 远程代码执行漏洞(CVE-2024-37032),Ollama 是用于快速启动llama等开源大模型的运行环境,服务默认监听本地11434端口,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,由于 server/modelpath.go 代码中未对用户可控的 digest 参数进行限制,/api/pull及/api/push接口存在路径穿越漏洞。攻击者可通过/api/pull接口拉取包含恶意内容和digest 参数(如:../../)的模型,从而写入任意文件,通过写入 /etc/ld.so.preload 文件可执行任意代码。攻击者可通过/api/push接口上传恶意模型,读取任意文件。
风险等级:高风险。
影响范围:
Ollama < 0.1.34
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本
进行安全更新方法:
https://github.com/ollama/ollama/releases
