关于Ollama存在未授权访问漏洞的安全提示

  近日，国家信息安全漏洞共享平台（****）收录了******未授权访问漏洞（****-****-*****）。未经授权的攻击者可以远程访问******服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。     *、漏洞情况分析  ******是*个本地私有化部署大语言模型（***，如********等）的运行环境和平台，简化了大语言模型在本地的部署、运行和管理过程，具有简化部署、轻量级可扩展、***支持、跨平台等特点，在**领域得到了较为广泛的应用。******存在未授权访问漏洞。由于******默认未设置身份验证和访问控制功能，未经授权的攻击者可在远程条件下调用******服务接口，执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的******易受此漏洞攻击影响。  ****对该漏洞的综合评级为“高危”。  *、漏洞影响范围  漏洞影响的产品和版本：  ******所有版本（未设置访问认证的情况下）  *、漏洞处置建议  请使用******部署大模型的单位和用户立即采取以下措施进行漏洞修复：  *、若******只提供本地服务，设置环境变量***********="******_****=***.*.*.*"，仅允许本地访问  *、若******需提供公网服务，选择以下方法添加认证机制：  (*）修改******.****、********.**** 配置文件，限定可访问****** 服务的**地址；  (*）通过防火墙等设备配置**白名单，阻止非授权**的访问请求；  (*）通过反向代理进行身份验证和授权（如使用*****.*协议），防止未经授权用户访问。