问题概述
相关组件和系统漏洞
1.Ollama工具的安全漏洞
Ollama 是一款用于私有化部署大模型的工具,支持 DeepSeek、Qwen、Llama、Mistral 等多种语言模型。
默认未设置身份验证和访问控制功能,导致服务 API 接口(如http://XX.XX.XX.XX:11434)可在未经授权的情况下被调用。
2024年11月,研究人员披露了 Ollama 框架中的六个安全漏洞,可能被利用执行拒绝服务攻击(DDoS)、模型污染和模型盗窃等恶意行为。
2.大模型服务器的安全风险
服务器未进行必要的安全配置,如未启用防火墙、未设置 IP 白名单、未对数据传输进行加密。
已出现通过自动化脚本扫描“裸奔”状态的 DeepSeek 服务器,并恶意占用大量计算资源,导致部分用户服务器崩溃的事件。
|
漏洞名称 |
风险等级 |
漏洞概述 |
|
Ollama 未授权访问风险 |
中风险 |
Ollama 默认未设置身份验证和访问控制功能,其服务 API 接口(如http://XX.XX.XX.XX:11434)可在未授权情况下被调用,攻击者可远程访问该接口,窃取知识库、投喂虚假信息或滥用模型推理资源。 |
|
Ollama 模型管理接口风险 |
中风险 |
攻击者可通过未授权访问 Ollama 的模型管理接口,读取、下载或删除私有模型文件。 |
|
Ollama 模型推理接口风险 |
中风险 |
攻击者可利用未授权访问的模型推理接口,执行任意 Prompt 指令,滥用模型推理资源。 |
|
Ollama 系统配置接口风险 |
中风险 |
攻击者可能通过未授权访问篡改 Ollama 服务参数,影响系统配置。 |
|
Ollama 远程代码执行漏洞(CVE-2024-37032) |
高危(CVSS评分9.1) |
在 Ollama 0.1.34 之前的版本中存在远程代码执行漏洞,攻击者无需身份验证即可通过接口操控服务器,实现任意代码执行。 |
|
Ollama 路径遍历漏洞(CVE-2024-45436) |
高危(CVSS评分9.1) |
在 Ollama 0.1.47 之前的版本中,extractFromZipFile函数在处理ZIP文件解压时,未能正确限制文件路径,导致攻击者可以通过特制的ZIP文件将文件解压到父目录之外。 |
|
Ollama 信息泄露漏洞(CVE-2024-39722) |
高危(CVSS评分7.5) |
在 Ollama 0.1.46 之前的版本中发现了一个漏洞。它通过 api/push 路由中的路径遍历,攻击者可以通过发送包含不存在的文件路径参数的恶意请求,利用该漏洞确定服务器上文件的存在性。 |
|
Ollama 信息泄露漏洞(CVE-2024-39719) |
高危(CVSS评分7.5) |
Ollama 0.3.14 及之前版本存在信息泄露漏洞,该漏洞源于/api/create端点对路径参数处理不当。攻击者可以通过发送包含不存在的文件路径参数的恶意请求,利用该漏洞确定服务器上文件的存在性,从而可能泄露敏感信息。 |
|
Ollama DNS 重绑定漏洞(CVE-2024-28224) |
高危(CVSS评分8.8) |
Ollama 在 0.1.29 版本之前存在一个 DNS 重绑定漏洞,可能允许远程访问完整 API,从而让未经授权的用户与大型语言模型聊天、删除模型或导致拒绝服务(资源耗尽)。 |
|
Ollama 拒绝服务漏洞(CVE-2024-39721) |
高危(CVSS评分7.5) |
Ollama 在 0.1.34 版本之前存在一个拒绝服务漏洞,该漏洞存在于Ollama的/api/create端点中,CreateModelHandler函数未对用户控制的req.Path参数进行适当验证。攻击者可以通过向该端点发送包含特殊文件路径(如/dev/random)的POST请求,使程序进入无限循环,耗尽系统资源,最终导致拒绝服务。 |
|
Ollama 拒绝服务漏洞(CVE-2024-39720) |
高危(CVSS评分8.2) |
在 Ollama 0.1.46 之前的版本中发现了一个漏洞。攻击者可以利用两个 HTTP 请求上传一个仅包含以 GGUF 自定义魔术头开始的 4 个字节的畸形 GGUF 文件。通过利用一个包含指向攻击者控制的 blob 文件的 FROM 语句的自定义 Modelfile,攻击者可以通过 CreateModel 路由使应用程序崩溃,导致段错误。 |
风险提示
防范建议
转载于公众号:奇安信 CERT
原文始发于微信公众号(乌雲安全):DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论