Ollama漏洞允许攻击者通过解析恶意模型文件执行任意代码
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
Ollama开源项目发现严重漏洞,攻击者可利用特制模型文件在易受攻击系统上执行任意代码。受影响版本为0.7.0及之前,需立即升级至最新版本以确保安全。
🎯
关键要点
- Ollama开源项目发现严重漏洞,攻击者可利用特制模型文件执行任意代码。
- 受影响版本为0.7.0及之前,需立即升级至最新版本以确保安全。
- 漏洞存在于模型文件解析过程中,攻击者可通过超大元数据条目或无效层索引的恶意模型文件触发越界写入。
- Sonarsource研究人员在安全审计中发现该漏洞,影响用C++编写的mllama模型解析代码。
- Ollama开发团队已在0.7.0版本中用Go语言重写易受攻击的模型处理代码,消除了不安全的实现。
- 使用旧版本的用户面临重大安全风险,建议立即升级并审核部署情况。
➡️
