OLLAMA 未授权访问-漏洞挖掘

1.漏洞描述

Ollama存在未授权访问漏洞。由于Ollama默认未设置身份验证和访问控制功能,未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的Ollama易受此漏洞攻击影响。

2.FOFA

app="Ollama"

3.POC验证

4.修复建议

1.限制OLLAMA监听范围‌:仅允许11434端口本地访问,并验证端口状态。这样可以有效防止未授权访问‌。

2.配置防火墙规则‌:对公网接口实施双向端口过滤,阻断11434端口的出入站流量。防火墙是保护网络安全的重要屏障,应充分发挥其作用‌。

3.实施多层认证与访问控制‌:启用API密钥管理,定期更换密钥并限制调用频率。部署IP白名单或零信任架构,仅授权可信设备访问。这两项措施有助于提升系统的安全性,防止未经授权的访问和攻击‌。

相关推荐
冉冰学姐16 小时前
SSM考试管理z2zvx(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
数据库·ssm 框架·学生信息管理
友友马16 小时前
『 QT 』信号-槽 补充: Qt信号槽断开连接与Lambda槽技巧
开发语言·数据库·qt
凡间客16 小时前
5、Python3编程之面向对象
java·服务器·数据库
涛思数据(TDengine)16 小时前
TDengine TSDB 3.3.8.0 上线:SMA、TLS、TDgpt、taosX、taosgen 一次全进化
大数据·数据库·时序数据库·tdengine
滴_咕噜咕噜17 小时前
【MFC】数据库操作:数据库动态生成
数据库·c++·mfc
YaoYuan932318 小时前
Ubuntu22.04 中搭建基于 Qemu 的内核(驱动)开发环境
数据库
hans汉斯18 小时前
【计算机科学与应用】基于多光谱成像与边缘计算的物流安全风险预警模式及系统实现
大数据·数据库·人工智能·设计模式·机器人·边缘计算·论文笔记
叫我龙翔18 小时前
【MySQL】从零开始了解数据库开发 --- 如何理解事务隔离性
数据库·mysql·数据库开发
你想考研啊18 小时前
一、redis安装(单机)和使用
前端·数据库·redis
枫叶丹418 小时前
【Qt开发】多元素类控件(三)-> QTreeWidget
开发语言·数据库·c++·qt