Το Pinterest κατηγορείται για εκμετάλλευση προσωπικών δεδομένων χρηστών
29 Οκτωβρίου, 2024Οι εκλογές της Αμερικής στο στόχαστρο με παραπληροφόρηση της Ρωσίας
6 Νοεμβρίου, 2024Οι ερευνητές ασφαλείας αποκάλυψαν έξι ευπάθειες στο πλαίσιο τεχνητής νοημοσύνης Ollama, οι οποίες θα μπορούσαν να εκμεταλλευτούν κακόβουλοι χρήστες για διάφορες επιθέσεις, όπως άρνηση υπηρεσίας (DoS).
Η Ollama είναι μια ανοιχτού κώδικα εφαρμογή που επιτρέπει την τοπική ανάπτυξη και λειτουργία μεγάλων γλωσσικών μοντέλων (LLMs) σε συσκευές Windows, Linux και macOS. Η αναφορά της Oligo Security αναφέρει έξι σημαντικές ευπάθειες, από τις οποίες οι πρώτες τέσσερις έχουν ήδη διορθωθεί με νέες εκδόσεις της εφαρμογής, ενώ οι τελευταίες δύο παραμένουν αδιόρθωτες. Οι κύριες ευπάθειες περιλαμβάνουν:
- CVE-2024-39719: Ευπάθεια που επιτρέπει σε έναν hacker να εντοπίσει την ύπαρξη αρχείων στον διακομιστή μέσω του /api/create (διορθώθηκε στην έκδοση 0.1.47).
- CVE-2024-39720: Ευπάθεια που προκαλεί εκτός ορίων ανάγνωση και ενδέχεται να προκαλέσει την κατάρρευση της εφαρμογής μέσω του /api/create (διορθώθηκε στην έκδοση 0.1.46).
- CVE-2024-39721: Ευπάθεια που προκαλεί εξάντληση πόρων και άρνηση υπηρεσίας όταν καλείται επανειλημμένα το /api/create με το αρχείο “/dev/random” (διορθώθηκε στην έκδοση 0.1.34).
- CVE-2024-39722: Ευπάθεια διαδρομής που αποκαλύπτει τα αρχεία και την δομή του διακομιστή μέσω του /api/push (διορθώθηκε στην έκδοση 0.1.46).
Δύο άλλες ευπάθειες που σχετίζονται με την μόλυνση μοντέλων και την κλοπή μέσω των /api/pull και /api/push παραμένουν ανοιχτές και προτείνεται να περιοριστεί η έκθεση των εν λόγω σημείων πρόσβασης στο Διαδίκτυο μέσω proxy ή firewall εφαρμογών ιστού.
Το report της Oligo ανέφερε ότι 9.831 μοναδικές εγκαταστάσεις του Ollama είναι εκτεθειμένες στο Διαδίκτυο, με το 25% αυτών να είναι ευάλωτο στις παραπάνω αδυναμίες. Οι διαχειριστές συστήματος πρέπει να είναι προσεκτικοί με την έκθεση αυτών των σημείων πρόσβασης, καθώς μπορεί να οδηγήσουν σε σοβαρές επιθέσεις.