超级会员免费看
概括:
Ollama 是一个用于运行和管理大型语言模型 (LLM) 的开源系统。
NCC 集团发现 Ollama 中存在一个 DNS 重绑定漏洞,该漏洞允许攻击者在未经授权的情况下访问其 API,并执行各种恶意活动,例如从易受攻击的系统中窃取敏感文件数据。
Ollama 在版本 v0.1.29 中修复了此问题。Ollama 用户应更新至此版本或更高版本。
影响:
Ollama DNS 重新绑定漏洞允许攻击者远程完全访问 Ollama API,即使易受攻击的系统未配置为公开其 API。访问 API 允许攻击者窃取运行 Ollama 的系统上的文件数据。攻击者可以执行其他未经授权的活动,例如与 LLM 模型聊天、删除这些模型以及通过资源耗尽引发拒绝服务攻击。一旦连接到恶意 Web 服务器,DNS 重新绑定最快可在 3 秒内完成。
细节:
Ollama 容易受到DNS 重新绑定攻击,这种攻击可被用来绕过浏览器同源策略(SOP)。攻击者可以与 Ollama 服务进行交互,并在用户台式机或服务器上调用其
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
