Ollama <= 0.3.14 多個弱點

high Nessus Plugin ID 233434

概要

遠端主機上安裝的 Ollama 執行個體受到多個弱點影響。

說明

遠端主機上安裝的 Ollama 版本低於或等於 0.3.14。因此會受到包括以下在內的多個弱點影響:

- ollama/ollama <=0.3.14 版中的一個弱點允許惡意使用者在 Ollama 伺服器上上傳並建立自訂的 GGUF 模型檔案。這樣可能會導致 ggufPadding 函式中發生除以零錯誤,進而造成伺服器當機並導致拒絕服務 (DoS) 攻擊。 (CVE-2025-0317)
- ollama/ollama <=0.3.14 中的一個弱點允許惡意使用者建立自訂的 GGUF 模型檔案、上傳至 Ollama 伺服器並且建立。這樣可能會造成伺服器配置無限記憶體,進而導致拒絕服務 (DoS) 攻擊。(CVE-2025-0315)

- Ollama <=0.3.14 版中的一個弱點允許惡意使用者建立可上傳至公共 Ollama 伺服器的自訂 gguf 模型檔案。伺服器在處理這個惡意模型時會發生當機,進而導致拒絕服務 (DoS) 攻擊。問題的根本原因是 gguf.go 檔案中的超出邊界讀取。(CVE-2024-12055)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Ollama 升級至比 0.3.14 更新的版本。

另請參閱

https://huntr.com/bounties/a9951bca-9bd8-49b2-b143-4cd4219f9fa0

https://huntr.com/bounties/da414d29-b55a-496f-b135-17e0fcec67bc

https://huntr.com/bounties/f115fe52-58af-4844-ad29-b1c25f7245df

https://huntr.com/bounties/7b111d55-8215-4727-8807-c5ed4cf1bfbe

Plugin 詳細資訊

嚴重性: High

ID: 233434

檔案名稱: ollama_0_3_14.nasl

版本: 1.2

類型: local

代理程式: windows, macosx, unix

已發布: 2025/3/28

已更新: 2025/4/15

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2024-12055

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱點資訊

CPE: cpe:/a:ollama:ollama

必要的 KB 項目: installed_sw/Ollama

修補程式發佈日期: 2025/3/20

弱點發布日期: 2025/3/20

參考資訊

CVE: CVE-2024-12055, CVE-2024-12886, CVE-2025-0315, CVE-2025-0317

IAVB: 2025-B-0041