CVE-2024-37032
Mis à jour :
Contournement de Sécurité dans Ollama
Une faille de sécurité a été identifiée dans Ollama, une plateforme d’exécution de modèles d’intelligence artificielle. Avant la version 0.1.34, le logiciel ne validait pas correctement le format des identifiants de modèle (digest SHA256) lorsqu’il récupérait les chemins des modèles. Cette absence de validation permettait à des entrées malformées, telles que des chaînes avec moins ou plus de 64 caractères hexadécimaux, ou commençant par ../, d’être traitées.
Points Clés :
- Vulnérabilité Principale : Défaut de validation du format des identifiants de modèle (digest SHA256).
- Version Affectée : Ollama avant la version 0.1.34.
- Conséquences Potentielles : Permet le traitement de chemins de modèle malformés, pouvant mener à des actions non désirées ou une exécution de code (potentiellement à distance avec des privilèges faibles).
- Score CVSS 3.1 : 8.8 (Critique), indiquant un risque élevé. Le vecteur est CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, signifiant une attaque possible sur le réseau, avec peu de complexité, ne nécessitant pas de privilèges élevés, sans interaction utilisateur, avec un impact sur la confidentialité, l’intégrité et la disponibilité.
Vulnérabilités Spécifiques :
- CVE-2024-37032 : Permet de contourner la validation du format du digest de modèle.
Recommandations :
- Mettre à jour Ollama vers la version 0.1.34 ou une version ultérieure pour corriger cette vulnérabilité.
- Être vigilant quant aux entrées fournies pour la récupération des modèles.
D’autres vulnérabilités connexes ont été signalées pour Ollama, notamment des dénis de service liés au traitement des métadonnées GGUF (CVE-2025-66960, CVE-2025-66959), une vulnérabilité de déréférencement de pointeur nul dans le traitement d’images multimodales (CVE-2025-15514), des contournements d’authentification sur les points d’accès API (CVE-2025-63389), et la suppression de fichiers arbitraires via une requête crafted (CVE-2025-44779).