- Peneliti keamanan menemukan kerentanan kritis pada platform AI Ollama yang dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh.
- Kerentanan ini disebabkan oleh kurangnya validasi input yang mengakibatkan kerentanan traversal path dan dapat dieksploitasi dengan mengirimkan file manifest model yang berisi payload traversal path.
- Ollama telah merilis versi 0.1.34 untuk mengatasi masalah ini, tetapi masih ada lebih dari 1.000 instance Ollama yang terbuka dan tidak terjamin.
pibitek.biz -Para peneliti keamanan siber telah mengumumkan kerentanan keamanan yang kritis pada platform infrastruktur AI Ollama yang terbuka. Kerentanan ini dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh. Kerentanan ini, yang diberi nama "Probllama" oleh perusahaan keamanan awan Wiz, telah diidentifikasi sebagai CVE-2024-37032.
2 – Google Kerjasama dengan Reaktor Nuklir untuk AI 2 – Google Kerjasama dengan Reaktor Nuklir untuk AI
3 – Ransomware BianLian Serang Rumah Sakit Anak Boston 3 – Ransomware BianLian Serang Rumah Sakit Anak Boston
Setelah pengumuman yang bertanggung jawab pada 5 Mei 2024, masalah ini telah diatasi dalam versi 0. 1.34 yang dirilis pada 7 Mei 2024. Ollama adalah layanan untuk mengemas, mengirim, dan menjalankan LLM secara lokal pada perangkat Windows, Linux, dan macOS.
Kerentanan ini terkait dengan kurangnya validasi input yang mengakibatkan kerentanan traversal path. Seorang penyerang dapat memanfaatkan kerentanan ini dengan mengirimkan permintaan HTTP yang dikhususkan ke server API Ollama untuk menggantikan file arbitrer pada server dan akhirnya mencapai eksekusi kode jarak jauh. Kerentanan ini dapat dieksploitasi dengan mengirimkan file manifest model yang berisi payload traversal path pada field digest ke endpoin API "/api/pull".
File manifest ini dapat digunakan untuk menggantikan file konfigurasi ("etc/ld. preload") yang terkait dengan linker dinamis ("ld. so") untuk memuat pustaka bersama yang tidak sah dan menjalankannya setiap kali sebelum menjalankan program apa pun.
Meskipun risiko eksekusi kode jarak jauh berkurang pada instalasi Linux default karena server API hanya mengikat ke localhost, tidak demikian halnya dengan instalasi Docker, di mana server API terbuka untuk umum. "Masalah ini sangat berbahaya pada instalasi Docker, karena server berjalan dengan hak akses root dan mendengarkan pada 0. 0.0 secara default, sehingga memungkinkan eksploitasi jarak jauh dari kerentanan ini", kata peneliti keamanan Sagi Tzadik.
Masalah ini diperparah oleh kurangnya autentikasi pada Ollama, sehingga memungkinkan penyerang untuk mengeksploitasi server yang dapat diakses publik untuk mencuri atau mengubah model AI, dan mengompromikan server inferensi AI self-hosted. Oleh karena itu, layanan seperti itu harus dijamin dengan middleware seperti proxy terbalik dengan autentikasi. Wiz mengidentifikasi lebih dari 1.000 instance Ollama yang terbuka dan tidak terjamin, yang menghosting banyak model AI tanpa perlindungan apa pun.
