Ollama 的 Probllama：人工智能服务器被网络盗版者捕获

攻击者获得了数千个未受保护的人工智能模型的访问权限。

人工智能安全研究人员发现开源人工智能平台 Ollama 存在严重漏洞。 该漏洞代号为 Probllama，编号为 CVE-2024-37032。 攻击者可以利用该问题远程执行代码。

奥拉玛。 CVE-2024-37032。

该安全漏洞由云安全公司 Wiz 发现。该问题于2024年5月5日正式披露，并在2024年5月7日发布的0.1.34版本中修复。

向导 0.1.34,

Ollama 平台旨在在运行 Windows、Linux 和 macOS 的设备上打包、部署和运行大型语言模型 (LLM)。主要问题是输入数据验证不足，导致路径遍历漏洞。该漏洞允许攻击者覆盖服务器上的任意文件并执行远程代码。

法学硕士 路径遍历

要成功利用该漏洞，攻击者需要向 Ollama API 服务器发送特制的 HTTP 请求。特别是，API 端点“/api/pull”被利用，旨在从官方或私人存储库下载模型。攻击者可以提供一个恶意模型清单文件，其中在摘要字段中包含恶意路径。

该漏洞可用于破坏系统文件并通过覆盖与动态链接器（“ld.so”）关联的配置文件“etc/ld.so.preload”来执行远程代码执行，以包含恶意库并运行在执行任何程序之前。

安全研究员 Sagi Tzadik 指出，这个问题在 Docker 安装中尤其严重，因为服务器以 root 身份运行并侦听所有网络接口。

最近警告 CVE-2024-22476，