WizはOSSのAIインフラ「Ollama」に重大な脆弱性があると報告した。この脆弱性によって任意のファイルが上書きされリモートコード実行が可能になるため、修正されたバージョン以降にアップデートが推奨されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国のセキュリティ企業Wizは2024年6月24日(現地時間)、オープンソースソフトウェア(OSS)のAIインフラストラクチャプラットフォームである「Ollama」に重大な脆弱(ぜいじゃく)性があることを伝えた。
Ollamaは「GitHub」や「Docker Hub」で人気があるOSSのAIインフラストラクチャプラットフォームだ。AIモデルのパッケージ化と展開を簡素化するために設計されている。
この脆弱性はCVE-2024-37032として特定されており「Probllama」と呼ばれている。これが悪用されると任意のファイルが上書きされ、最終的にリモートコード実行(RCE)が可能になるとされている。問題が修正されたバージョンが既に公開されておりアップデートすることが求められる。
同脆弱性の影響を受けるバージョンは以下の通りだ。
同脆弱性が修正されたバージョンは以下の通りだ。
この脆弱性を悪用するには、攻撃者が特別に細工したHTTPリクエストをOllama APIサーバに送信する必要がある。LinuxインストールではAPIサーバはlocalhostにバインドされるためリモートからの悪用リスクは低減される。しかし、「Docker」デプロイメントではAPIサーバが公開されているため、リモートから悪用されてしまう可能性があるとされている。
緩和方法や回避方法としては、Ollamaインスタンスを最新バージョンに更新するかOllamaをインターネットに公開しないことが推奨されている。Ollamaユーザーはこれらの対策を講じて脆弱性からシステムを保護することが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.