一、通告背景
Ollama是一个高效的人工智能平台,旨在提供强大的自然语言处理功能。它支持多种预训练模型,包括大语言模型(LLM),用户可以利用这些模型进行对话生成、文本理解、情感分析等任务。Ollama的API和工具使得开发者能够轻松地在本地环境中集成和调用这些模型,提升应用的智能化水平。凭借其简便的接口和高效的性能,Ollama在AI领域得到了广泛的应用,尤其适用于对自然语言处理有高需求的场景,如聊天机器人、自动化客服、内容生成等。
二、通告描述
2025年3月27日,监测到一则Ollama组件存在未授权访问漏洞的信息,漏洞威胁等级:高危。Ollama存在一个未授权访问漏洞,未授权攻击者可以利用该漏洞访问Ollama服务器,执行包括但不限于显示有关模型的详细信息、生成文本、拉取和删除模型操作,导致潜在的数据泄露与资源滥用。
三、漏洞危害
未经身份认证的远程攻击者能造成数据泄露与资源滥用。
四、利用条件
1、用户认证:不需要用户认证
2、触发方式:远程
五、受影响范围
无访问控制权限校验的Ollama服务器
六、修复建议
1、如何检测组件系统版本
通过执行命令ollama -v 查看当前ollama 版本
2、官方修复建议
目前Ollama 未发布官方解决方案。
3、临时修复建议
(1)若Ollama 只对本地提供服务,建议设置环境变量Environment ="OLLAMA_HOST=127.0.0.1",仅允许本地访问;
(2)配置反向代理限制访问;
(3)在防火墙等设备部署IP白名单,严格限定访问IP地址
