OSSのAIインフラ「Ollama」にリモートコード実行の脆弱性 急ぎアップデートを:セキュリティニュースアラート
WizはOSSのAIインフラ「Ollama」に重大な脆弱性があると報告した。この脆弱性によって任意のファイルが上書きされリモートコード実行が可能になるため、修正されたバージョン以降にアップデートが推奨されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国のセキュリティ企業Wizは2024年6月24日(現地時間)、オープンソースソフトウェア(OSS)のAIインフラストラクチャプラットフォームである「Ollama」に重大な脆弱(ぜいじゃく)性があることを伝えた。
GitHub人気プロジェクト「Ollama」に重大な脆弱性が発覚
Ollamaは「GitHub」や「Docker Hub」で人気があるOSSのAIインフラストラクチャプラットフォームだ。AIモデルのパッケージ化と展開を簡素化するために設計されている。
この脆弱性はCVE-2024-37032として特定されており「Probllama」と呼ばれている。これが悪用されると任意のファイルが上書きされ、最終的にリモートコード実行(RCE)が可能になるとされている。問題が修正されたバージョンが既に公開されておりアップデートすることが求められる。
同脆弱性の影響を受けるバージョンは以下の通りだ。
- Ollama 0.1.34より前のバージョン
同脆弱性が修正されたバージョンは以下の通りだ。
- Ollama 0.1.34およびこれ以降のバージョン
この脆弱性を悪用するには、攻撃者が特別に細工したHTTPリクエストをOllama APIサーバに送信する必要がある。LinuxインストールではAPIサーバはlocalhostにバインドされるためリモートからの悪用リスクは低減される。しかし、「Docker」デプロイメントではAPIサーバが公開されているため、リモートから悪用されてしまう可能性があるとされている。
緩和方法や回避方法としては、Ollamaインスタンスを最新バージョンに更新するかOllamaをインターネットに公開しないことが推奨されている。Ollamaユーザーはこれらの対策を講じて脆弱性からシステムを保護することが求められている。
関連記事
結局、ランサムウェア身代金は支払った方がいいのか? 被害実態から見えた答え
日本国内においてランサムウェアの身代金支払いに関する議論が話題を集めている。ランサムウェア対策における身代金支払いの是非について有識者が見解を示した。
セキュリティを“霊感”で考える? 安藤類央氏が語るAIの本質とは
ITmedia Security Week 2024 春に国立情報学研究所の安藤類央氏が登壇し、セキュリティインシデントを防ぐために必要な“霊感”という能力について説明した。一体これはどのような能力なのか。
ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。
ドワンゴを狙ったサイバー攻撃はランサムウェアだと判明 復旧の見込みは?
ドワンゴは2024年6月8日に発生した「ニコニコ」を含むKADOKAWAグループで発生しているセキュリティインシデントがランサムウェア攻撃によるものであることを明らかにした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- VMware、vCenter Serverの重大な脆弱性に対応 回避策はなし
- サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
- SIビジネス「消滅の日」は近い? ユーザー企業視点で考える、脱“SIer丸投げ”の方策
- VMwareの料金体系変更をめぐる裁判の行方 Broadcomの“言い分”は?
- 「Canva」が国内でディストリビューター契約、法人でも使いやすく SB C&Sと
- 「AIエージェント同士が会話をして問題を解決」 SAPが目指す生成AI活用の未来
- FortiManagerに未公開の重大な脆弱性 一部の顧客に先行警告か
- Salesforceが“0円”でAIトレーニングを提供 大盤振る舞いの背景とは
- Fortinet製品の重大な脆弱性 約8万7000件のIPアドレスに影響
- 内製と外注の“黄金比”を見つけ出せ 阿部慎司氏が提言するゼロから始める組織強化のススメ
ITmediaはアイティメディア株式会社の登録商標です。