OSSのAIインフラ「Ollama」にリモートコード実行の脆弱性 急ぎアップデートをセキュリティニュースアラート

WizはOSSのAIインフラ「Ollama」に重大な脆弱性があると報告した。この脆弱性によって任意のファイルが上書きされリモートコード実行が可能になるため、修正されたバージョン以降にアップデートが推奨されている。

» 2024年06月27日 08時30分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 米国のセキュリティ企業Wizは2024年6月24日(現地時間)、オープンソースソフトウェア(OSS)のAIインフラストラクチャプラットフォームである「Ollama」に重大な脆弱(ぜいじゃく)性があることを伝えた。

GitHub人気プロジェクト「Ollama」に重大な脆弱性が発覚

 Ollamaは「GitHub」や「Docker Hub」で人気があるOSSのAIインフラストラクチャプラットフォームだ。AIモデルのパッケージ化と展開を簡素化するために設計されている。

 この脆弱性はCVE-2024-37032として特定されており「Probllama」と呼ばれている。これが悪用されると任意のファイルが上書きされ、最終的にリモートコード実行(RCE)が可能になるとされている。問題が修正されたバージョンが既に公開されておりアップデートすることが求められる。

 同脆弱性の影響を受けるバージョンは以下の通りだ。

  • Ollama 0.1.34より前のバージョン

 同脆弱性が修正されたバージョンは以下の通りだ。

  • Ollama 0.1.34およびこれ以降のバージョン

 この脆弱性を悪用するには、攻撃者が特別に細工したHTTPリクエストをOllama APIサーバに送信する必要がある。LinuxインストールではAPIサーバはlocalhostにバインドされるためリモートからの悪用リスクは低減される。しかし、「Docker」デプロイメントではAPIサーバが公開されているため、リモートから悪用されてしまう可能性があるとされている。

 緩和方法や回避方法としては、Ollamaインスタンスを最新バージョンに更新するかOllamaをインターネットに公開しないことが推奨されている。Ollamaユーザーはこれらの対策を講じて脆弱性からシステムを保護することが求められている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR