Databricks
·
GGML GGUF 文件格式漏洞
💡
原文英文,约2000词,阅读约需8分钟。
📝
内容提要
GGUF文件格式是用于存储和加载GGML库模型权重的二进制文件格式。GGUF格式最近在分发训练好的机器学习模型方面变得流行,并成为Llama-2中使用模型的常用格式之一。GGML库在解析输入文件时存在内存损坏漏洞,攻击者可以利用这些漏洞通过提供精心制作的gguf文件在受害者计算机上执行代码。已修复这些漏洞,并可从提交6b14d73中获取补丁。
🎯
关键要点
- GGUF文件格式是用于存储和加载GGML库模型权重的二进制文件格式。
- GGUF格式在分发训练好的机器学习模型方面变得流行,尤其是在Llama-2中。
- GGML库在解析输入文件时存在内存损坏漏洞,攻击者可以利用这些漏洞执行代码。
- 已修复这些漏洞,补丁可从提交6b14d73中获取。
- GGUF格式的解析过程中存在多个潜在的内存溢出漏洞。
- CVE-2024-25664:未检查的KV计数导致堆溢出。
- CVE-2024-25665:读取字符串类型时的堆溢出漏洞。
- CVE-2024-25666:未检查的张量计数导致堆溢出。
- CVE-2024-25667:用户提供的数组元素导致堆溢出。
- CVE-2024-25668:解包字符串类型数组时的堆溢出问题。
- 数组索引未界限检查,可能导致整数溢出。
- 这些漏洞可能被攻击者利用来分发恶意软件,影响开发者的安全。
- Databricks与GGML.ai团队密切合作,迅速解决了这些问题。
➡️
