今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Ollama 远程代码执行漏洞(CVE-2024-37032)。该漏洞发生在低于 0.1.34 版本的 Ollama 中。当尝试获取模型路径时,系统不会验证摘要的格式(应为具有 64 个十六进制数字的sha256格式)。这导致在执行TestGetBlobsPath 测试用例时,无论是摘要长度少于64个十六进制数字,还是超过这个长度,亦或是初始子字符串,系统可能会错误地处理摘要。
目前厂商官方已针对相关漏洞进行修复,并发布最新版本。亚信安全CERT建议用户将受影响的Ollama升级至 0.1.34 及以上版本。
Ollama 是一个开源框架,专门设计用来简化在Docker容器中部署和管理大型语言模型(Large Language Model)的过程。它支持Mac和Linux平台,并提供了Docker镜像,让用户在本地能够快速部署和运行大型语言模型。
漏洞编号、类型、等级
CVE-2024-37032
代码执行
高危
漏洞状态
细节 | PoC | EXP | 在野利用 | 复现情况 |
已公开 | 已公开 | 待确认 | 未发现 | 已复现 |
受影响版本
Ollama @(-∞ , 0.1.34)
产品解决方案
目前亚信安全怒狮引擎已新增检测规则,请及时更新TDA、AE产品的特征库到最新版本,更新方式如下:
TDA产品在线更新方法:登录系统-》系统管理-》系统升级-》特征码更新;
AE产品在线更新方法:登录系统-》管理-》更新-》特征码更新;
TDA、AE产品离线升级PTN包下载链接如下:
离线升级PTN包-后台私信获取下载链接
修复建议
目前,官方已发布相关公告信息修复该漏洞,建议受影响用户将Ollama及时升级至最新版本。
https://github.com/ollama/ollama/releases
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2024-37032
https://www.wiz.io/blog/probllama-ollama-vulnerability-cve-2024-37032
https://github.com/Bi0x/CVE-2024-37032
https://github.com/ollama/ollama/commit/2a21363bb756a7341d3d577f098583865bd7603f
https://github.com/ollama/ollama/pull/4175
https://github.com/ollama/ollama/compare/v0.1.33...v0.1.34
https://github.com/ollama/ollama/releases
本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。
了解亚信安全,请点击“阅读原文”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...