江蘇
關鍵詞
ollma
安全研究人員披露,開源項目 Ollama 在 0.7.0 之前的版本中存在嚴重模型解析漏洞,攻擊者可通過構造惡意 GGUF 模型文件,在受害者系統(tǒng)上實現(xiàn)任意代碼執(zhí)行。Ollama 因能在本地運行多種大語言模型而廣受開發(fā)者采用,其舊版在解析 mllama 模型時未正確校驗元數(shù)據(jù)索引是否越界,導致越界寫入風險。攻擊者只需讓目標加載偽造模型,即可觸發(fā)內(nèi)存破壞,通過 API 訪問還可能實現(xiàn)遠程利用。問題源于舊版 C++ 解析邏輯使用不安全的內(nèi)存處理方式,官方已在 0.7.0 中將相關模塊完全改寫為 Go 版本以消除隱患。使用舊版本的用戶和企業(yè)部署應立即升級,并避免加載來源不明的模型文件。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
