Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11081

Опубликовано: 29 окт. 2024
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость системы запуска и управления большими языковыми моделями (LLM) Ollama связана с чтением за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании (нарушение сегментации) с помощью специально созданного файла

Вендор

Novell Inc.
Сообщество свободного программного обеспечения

Наименование ПО

OpenSUSE Leap
openSUSE Tumbleweed
SUSE Package Hub
SUSE Linux Enterprise Module for Package Hub
Ollama

Версия ПО

15.5 (OpenSUSE Leap)
- (openSUSE Tumbleweed)
12 (SUSE Package Hub)
15 SP5 (SUSE Linux Enterprise Module for Package Hub)
15 SP6 (SUSE Linux Enterprise Module for Package Hub)
15.6 (OpenSUSE Leap)
до 0.1.46 (Ollama)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ollama:
https://github.com/advisories/GHSA-95j2-w8x7-hm88
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-39720.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00172
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-39720

CVSS3: 8.2
nvd
больше 1 года назад

An issue was discovered in Ollama before 0.1.46. An attacker can use two HTTP requests to upload a malformed GGUF file containing just 4 bytes starting with the GGUF custom magic header. By leveraging a custom Modelfile that includes a FROM statement pointing to the attacker-controlled blob file, the attacker can crash the application through the CreateModel route, leading to a segmentation fault (signal SIGSEGV: segmentation violation).

debian логотип

CVE-2024-39720

CVSS3: 8.2
debian
больше 1 года назад

An issue was discovered in Ollama before 0.1.46. An attacker can use t ...

github логотип

GHSA-95j2-w8x7-hm88

CVSS3: 8.2
github
больше 1 года назад

Ollama Out-of-bounds Read

suse-cvrf логотип

SUSE-SU-2024:3950-1

suse-cvrf
больше 1 года назад

Security update for govulncheck-vulndb

EPSS

Процентиль: 39%
0.00172
Низкий

8.2 High

CVSS3

8.5 High

CVSS2