近日,国家信息安全漏洞共享平台(****)收录了******未授权访问漏洞(****-****-*****)。未经授权的攻击者可以远程访问******服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。 *、漏洞情况分析 ******是*个本地私有化部署大语言模型(***,如********等)的运行环境和平台,简化了大语言模型在本地的部署、运行和管理过程,具有简化部署、轻量级可扩展、***支持、跨平台等特点,在**领域得到了较为广泛的应用。******存在未授权访问漏洞。由于******默认未设置身份验证和访问控制功能,未经授权的攻击者可在远程条件下调用******服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的******易受此漏洞攻击影响。 ****对该漏洞的综合评级为“高危”。 *、漏洞影响范围 漏洞影响的产品和版本: ******所有版本(未设置访问认证的情况下) *、漏洞处置建议 请使用******部署大模型的单位和用户立即采取以下措施进行漏洞修复: *、若******只提供本地服务,设置环境变量***********="******_****=***.*.*.*",仅允许本地访问 *、若******需提供公网服务,选择以下方法添加认证机制: (*)修改******.****、********.**** 配置文件,限定可访问****** 服务的**地址; (*)通过防火墙等设备配置**白名单,阻止非授权**的访问请求; (*)通过反向代理进行身份验证和授权(如使用*****.*协议),防止未经授权用户访问。
分享
客服电话 400-000-0388
