OSSのAIインフラ「Ollama」にリモートコード実行の脆弱性 急ぎアップデートを:セキュリティニュースアラート
WizはOSSのAIインフラ「Ollama」に重大な脆弱性があると報告した。この脆弱性によって任意のファイルが上書きされリモートコード実行が可能になるため、修正されたバージョン以降にアップデートが推奨されている。
米国のセキュリティ企業Wizは2024年6月24日(現地時間)、オープンソースソフトウェア(OSS)のAIインフラストラクチャプラットフォームである「Ollama」に重大な脆弱(ぜいじゃく)性があることを伝えた。
GitHub人気プロジェクト「Ollama」に重大な脆弱性が発覚
Ollamaは「GitHub」や「Docker Hub」で人気があるOSSのAIインフラストラクチャプラットフォームだ。AIモデルのパッケージ化と展開を簡素化するために設計されている。
この脆弱性はCVE-2024-37032として特定されており「Probllama」と呼ばれている。これが悪用されると任意のファイルが上書きされ、最終的にリモートコード実行(RCE)が可能になるとされている。問題が修正されたバージョンが既に公開されておりアップデートすることが求められる。
同脆弱性の影響を受けるバージョンは以下の通りだ。
- Ollama 0.1.34より前のバージョン
同脆弱性が修正されたバージョンは以下の通りだ。
- Ollama 0.1.34およびこれ以降のバージョン
この脆弱性を悪用するには、攻撃者が特別に細工したHTTPリクエストをOllama APIサーバに送信する必要がある。LinuxインストールではAPIサーバはlocalhostにバインドされるためリモートからの悪用リスクは低減される。しかし、「Docker」デプロイメントではAPIサーバが公開されているため、リモートから悪用されてしまう可能性があるとされている。
緩和方法や回避方法としては、Ollamaインスタンスを最新バージョンに更新するかOllamaをインターネットに公開しないことが推奨されている。Ollamaユーザーはこれらの対策を講じて脆弱性からシステムを保護することが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
結局、ランサムウェア身代金は支払った方がいいのか? 被害実態から見えた答え
日本国内においてランサムウェアの身代金支払いに関する議論が話題を集めている。ランサムウェア対策における身代金支払いの是非について有識者が見解を示した。
セキュリティを“霊感”で考える? 安藤類央氏が語るAIの本質とは
ITmedia Security Week 2024 春に国立情報学研究所の安藤類央氏が登壇し、セキュリティインシデントを防ぐために必要な“霊感”という能力について説明した。一体これはどのような能力なのか。
ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。
ドワンゴを狙ったサイバー攻撃はランサムウェアだと判明 復旧の見込みは?
ドワンゴは2024年6月8日に発生した「ニコニコ」を含むKADOKAWAグループで発生しているセキュリティインシデントがランサムウェア攻撃によるものであることを明らかにした。