- 2024年5月5日に責任ある開示が行われ、2024年5月7日にバージョン0.1.34で修正されたOllamaオープンソースAIインフラプラットフォームに影響を与えるセキュリティ欠陥が明らかになった。
- CVE-2024-37032として追跡され、Wizによると、この脆弱性はProbllamaとしてコードネームが付けられた。
- Ollamaは、Windows、Linux、macOSデバイスでローカルに大規模な言語モデル(LLM)をパッケージ化、展開、実行するためのサービスである。
- 問題は、入力検証の不足に起因し、攻撃者が任意のファイルを上書きしてリモートコード実行を達成できるパス遍歴の欠陥に関連している。
- 脅威アクターは、Ollama APIサーバーに特別に作成されたHTTPリクエストを送信する必要がある。
この記事からわかるように、Ollamaプラットフォームには深刻なセキュリティ上の問題が存在し、それによってリモートコード実行が可能となる危険性があることが明らかになっています。特にDocker環境では、この問題がより深刻であり、適切な対策が必要とされています。
元記事: https://thehackernews.com/2024/06/critical-rce-vulnerability-discovered.html