CVE-2024-28224

Nome do software vulnerável e versões afetadas:

Versões do Ollama anteriores à 0.1.29

Descrição:

O problema está relacionado a uma vulnerabilidade de rebinding de DNS que pode, inadvertidamente, permitir o acesso remoto à API completa. Essa vulnerabilidade pode permitir que um usuário não autorizado converse com um modelo de linguagem de grande porte, exclua um modelo ou cause uma negação de serviço devido ao esgotamento de recursos. A vulnerabilidade está associada ao uso de resolução DNS reversa para endereços IP e pode ser explorada por um invasor remoto para realizar um ataque de rebinding de DNS.

Recomendações:

Para versões anteriores à 0.1.29, atualize para a versão 0.1.29 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à API para minimizar o risco de exploração. Evite usar a API para operações críticas até que o problema seja resolvido. No momento, não há outras informações sobre medidas de mitigação adicionais.