OLLAMA 未授权访问-漏洞挖掘

1.漏洞描述

Ollama存在未授权访问漏洞。由于Ollama默认未设置身份验证和访问控制功能,未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的Ollama易受此漏洞攻击影响。

2.FOFA

app="Ollama"

3.POC验证

4.修复建议

1.限制OLLAMA监听范围‌:仅允许11434端口本地访问,并验证端口状态。这样可以有效防止未授权访问‌。

2.配置防火墙规则‌:对公网接口实施双向端口过滤,阻断11434端口的出入站流量。防火墙是保护网络安全的重要屏障,应充分发挥其作用‌。

3.实施多层认证与访问控制‌:启用API密钥管理,定期更换密钥并限制调用频率。部署IP白名单或零信任架构,仅授权可信设备访问。这两项措施有助于提升系统的安全性,防止未经授权的访问和攻击‌。

相关推荐
陪你在童年42 分钟前
EXCEL根据类别分页预览或者直接生成PDF
数据库
l1t1 小时前
在duckdb 1.4中编译和使用postgresql协议插件duckdb-pgwire
开发语言·数据库·c++·postgresql·插件·duckdb
武子康1 小时前
Java-138 深入浅出 MySQL Spring Boot 事务传播机制全解析:从 REQUIRED 到 NESTED 的实战详解 传播机制原理
java·大数据·数据库·spring boot·sql·mysql·事务
snpgroupcn1 小时前
SAP S/4HANA迁移方法选哪种?选择性数据转换是否合适?企业需要考虑哪些关键因素!
运维·数据库·云计算
敲码图一乐1 小时前
流量安全——基于Sentinel实现限流,熔断,降级
java·开发语言·数据库
孟意昶2 小时前
Spark专题-第三部分:性能监控与实战优化(2)-分区优化
大数据·分布式·sql·性能优化·spark·big data
何故染尘優2 小时前
Redis 如何配置 Key 的过期时间?它的实现原理?
数据库·redis·缓存
落日漫游4 小时前
MySQL常用命令全攻略
数据库·sql·oracle
野熊佩骑7 小时前
CentOS7二进制安装包方式部署K8S集群之ETCD集群部署
运维·数据库·云原生·容器·kubernetes·centos·etcd
野生技术架构师8 小时前
聊聊五种 Redis 部署模式
数据库·redis·缓存