Ollama远程代码执行漏洞(CVE-2024-37032)深度分析与防护指南<\/h1>

1. 漏洞概述<\/h2>

漏洞基本信息<\/strong>：<\/p>

编号<\/strong>：CVE-2024-37032<\/li>
类型<\/strong>：远程代码执行(RCE)<\/li>
发现时间<\/strong>：2024年5月5日<\/li>
公开时间<\/strong>：2024年6月24日<\/li>
严重等级<\/strong>：高危(CVSS 3.1评分9.1)<\/li>
影响版本<\/strong>：Ollama < 0.1.34<\/li>
修复版本<\/strong>：Ollama 0.1.34及以上<\/li> <\/ul>
2. 受影响产品介绍<\/h2>
Ollama是一个开源工具，专为在本地环境中运行和定制大型语言模型(LLM)而设计。它提供：<\/p>

简单高效的接口用于创建、运行和管理AI模型<\/li>
丰富的预构建模型库<\/li>
易于集成到各种应用程序中<\/li>
目标是简化大型语言模型的部署和交互<\/li> <\/ul>
3. 漏洞技术细节<\/h2>
3.1 漏洞原理<\/h3>
该漏洞源于Ollama对digest<\/code>字段验证不严格，导致路径遍历攻击<\/strong>可能。攻击者可通过构造恶意digest<\/code>字段实现：<\/p>
任意文件读取<\/li> 任意文件写入<\/li> 最终可能导致远程代码执行<\/li> <\/ul> 3.2 漏洞利用机制<\/h3> 攻击流程分为四个阶段：<\/p> 初始请求阶段<\/strong>：<\/p> 攻击者向Ollama的\/api\/pull<\/code>端点发送请求<\/li> 请求指向攻击者控制的恶意服务器<\/li> 使用insecure: true<\/code>参数绕过SSL验证<\/li> <\/ul> <\/li> 恶意响应阶段<\/strong>：<\/p> 恶意服务器返回特制的manifest文件<\/li> digest<\/code>字段包含路径遍历payload(如..\/..\/..\/..\/etc\/passwd<\/code>)<\/li> <\/ul> <\/li> 漏洞触发阶段<\/strong>：<\/p> Ollama处理manifest时不验证digest<\/code>格式<\/li> 路径遍历序列被当作合法路径处理<\/li> 系统访问预期目录外的文件<\/li> <\/ul> <\/li> 数据泄露阶段<\/strong>：<\/p> 攻击者通过\/api\/push<\/code>请求获取敏感文件内容<\/li> <\/ul> <\/li> <\/ol> 3.3 关键脆弱代码分析<\/h3> 漏洞存在于modelpath.go<\/code>文件的GetBlobsPath<\/code>函数中：<\/p> \/\/ 漏洞版本代码(v0.1.33及之前) <\/span><\/span><\/span><\/span>func<\/span> GetBlobsPath<\/span>(digest<\/span> string<\/span>) string<\/span> { <\/span><\/span> return<\/span> filepath<\/span>.Join<\/span>(blobsDir<\/span>, digest<\/span>) \/\/ 直接拼接路径，无验证 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>问题点：<\/p> 未验证digest<\/code>是否符合SHA256格式(64位十六进制)<\/li> 直接将未过滤的输入拼接到文件路径<\/li> 允许路径遍历序列(如..\/<\/code>)生效<\/li> <\/ol> 3.4 修复方案分析<\/h3> 修复提交：2a21363bb756a7341d3d577f098583865bd7603f<\/code><\/p> 修复方法：<\/p> \/\/ 修复后代码(v0.1.34) <\/span><\/span><\/span><\/span>func<\/span> GetBlobsPath<\/span>(digest<\/span> string<\/span>) (string<\/span>, error<\/span>) { <\/span><\/span> if<\/span> !sha256DigestRegex<\/span>.MatchString<\/span>(digest<\/span>) { <\/span><\/span> return<\/span> ""<\/span>, fmt<\/span>.Errorf<\/span>("invalid digest format"<\/span>) <\/span><\/span> } <\/span><\/span> return<\/span> filepath<\/span>.Join<\/span>(blobsDir<\/span>, digest<\/span>), nil<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>修复关键点：<\/p> 引入正则验证digest<\/code>格式(^[a-f0-9]{64}$<\/code>)<\/li> 确保输入为合法SHA256哈希值<\/li> 阻止路径遍历序列注入<\/li> <\/ol> 4. 漏洞影响评估<\/h2> 4.1 影响范围<\/h3> 国内风险资产<\/strong>：约3,955个(关联IP 994个)<\/li> 全球风险资产<\/strong>：约5,960个(关联IP 1,581个)<\/li> <\/ul> 4.2 潜在危害<\/h3> 数据泄露<\/strong>：读取系统敏感文件(\/etc\/passwd<\/code>等)<\/li> 系统破坏<\/strong>：写入恶意文件导致服务中断<\/li> 权限提升<\/strong>：获取系统高级权限<\/li> 横向渗透<\/strong>：作为内网渗透跳板<\/li> <\/ol> 5. 漏洞复现指南<\/h2> 5.1 环境搭建<\/h3> # 搭建漏洞环境<\/span> <\/span><\/span>docker run -d -p 11434:11434 ollama\/ollama:0.1.33 <\/span><\/span><\/code><\/pre>5.2 验证步骤<\/h3> 克隆利用代码：<\/p> git clone https:\/\/github.com\/Bi0x\/CVE-2024-37032.git <\/span><\/span><\/code><\/pre><\/li> 修改PoC脚本：<\/p> 设置poc.py<\/code>和server.py<\/code>中的目标IP<\/li> <\/ul> <\/li> 启动恶意服务器：<\/p> python server.py <\/span><\/span><\/code><\/pre><\/li> 执行攻击：<\/p> python poc.py <\/span><\/span><\/code><\/pre><\/li> 验证结果：<\/p> 检查是否读取到目标系统的\/etc\/passwd<\/code><\/li> <\/ul> <\/li> <\/ol> 5.3 攻击请求示例<\/h3> { <\/span><\/span> "name"<\/span>: "malicious-registry:5000\/exploit"<\/span>, <\/span><\/span> "insecure"<\/span>: true<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>6. 防护与缓解措施<\/h2> 6.1 官方修复方案<\/h3> 立即升级到Ollama 0.1.34或更高版本<\/li> 关注官方安全公告和更新<\/li> <\/ol> 6.2 临时缓解措施<\/h3> 网络隔离<\/strong>：<\/p> 限制Ollama服务的网络访问<\/li> 避免暴露在公网<\/li> 防火墙限制11434端口访问<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 使用最小权限原则运行Ollama服务<\/li> 限制文件系统访问权限<\/li> <\/ul> <\/li> 监控措施<\/strong>：<\/p> 监控可疑的API请求<\/li> 记录异常文件访问行为<\/li> <\/ul> <\/li> <\/ol> 6.3 长期安全建议<\/h3> 安全开发实践<\/strong>：<\/p> 实施严格的输入验证<\/li> 遵循最小权限原则<\/li> 定期安全代码审计<\/li> <\/ul> <\/li> 运维安全<\/strong>：<\/p> 建立漏洞监控机制<\/li> 定期安全评估和渗透测试<\/li> 制定应急响应计划<\/li> <\/ul> <\/li> 安全意识<\/strong>：<\/p> 加强开发人员安全培训<\/li> 提高安全编码意识<\/li> 建立安全开发生命周期(SDLC)<\/li> <\/ul> <\/li> <\/ol> 7. 参考资料<\/h2> Wiz Research Blog - Probllama: Ollama Vulnerability CVE-2024-37032<\/a><\/li> GitHub Advisory - GHSA-8hqg-whrw-pv92<\/a><\/li> Ollama Fix Commit<\/a><\/li> Bi0x\/CVE-2024-37032 PoC<\/a><\/li> <\/ol> 附录：技术要点总结<\/h2> 漏洞根源<\/strong>：缺乏对digest<\/code>字段的格式验证和路径遍历防护<\/li> 利用条件<\/strong>：未认证的Ollama服务+恶意registry服务器<\/li> 攻击复杂度<\/strong>：低(无需特殊权限)<\/li> 修复关键<\/strong>：严格的SHA256格式验证<\/li> 防御核心<\/strong>：输入验证+权限控制+网络隔离<\/li> <\/ol> 通过全面理解该漏洞的技术细节和防护措施，可以有效防范类似安全风险，确保AI模型服务的安全运行。<\/p>