Ollama <= 0.3.14 多個弱點
high Nessus Plugin ID 233434
語言:
概要
遠端主機上安裝的 Ollama 執行個體受到多個弱點影響。說明
遠端主機上安裝的 Ollama 版本低於或等於 0.3.14。因此會受到包括以下在內的多個弱點影響:- ollama/ollama <=0.3.14 版中的一個弱點允許惡意使用者在 Ollama 伺服器上上傳並建立自訂的 GGUF 模型檔案。這樣可能會導致 ggufPadding 函式中發生除以零錯誤,進而造成伺服器當機並導致拒絕服務 (DoS) 攻擊。 (CVE-2025-0317)
- ollama/ollama <=0.3.14 中的一個弱點允許惡意使用者建立自訂的 GGUF 模型檔案、上傳至 Ollama 伺服器並且建立。這樣可能會造成伺服器配置無限記憶體,進而導致拒絕服務 (DoS) 攻擊。(CVE-2025-0315)
- Ollama <=0.3.14 版中的一個弱點允許惡意使用者建立可上傳至公共 Ollama 伺服器的自訂 gguf 模型檔案。伺服器在處理這個惡意模型時會發生當機,進而導致拒絕服務 (DoS) 攻擊。問題的根本原因是 gguf.go 檔案中的超出邊界讀取。(CVE-2024-12055)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
將 Ollama 升級至比 0.3.14 更新的版本。另請參閱
https://huntr.com/bounties/a9951bca-9bd8-49b2-b143-4cd4219f9fa0
https://huntr.com/bounties/da414d29-b55a-496f-b135-17e0fcec67bc
https://huntr.com/bounties/f115fe52-58af-4844-ad29-b1c25f7245df
https://huntr.com/bounties/7b111d55-8215-4727-8807-c5ed4cf1bfbe
Plugin 詳細資訊
嚴重性: High
ID: 233434
檔案名稱: ollama_0_3_14.nasl
版本: 1.2
類型: local
代理程式: windows, macosx, unix
已發布: 2025/3/28
已更新: 2025/4/15
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: High
基本分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 評分資料來源: CVE-2024-12055
CVSS v3
風險因素: High
基本分數: 7.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
弱點資訊
CPE: cpe:/a:ollama:ollama
必要的 KB 項目: installed_sw/Ollama
修補程式發佈日期: 2025/3/20
弱點發布日期: 2025/3/20
參考資訊
CVE: CVE-2024-12055, CVE-2024-12886, CVE-2025-0315, CVE-2025-0317
IAVB: 2025-B-0041