Kritischer Ollama-Speicherleck-Fehler gefährdet weltweit 300.000 Server

Ollama lädt Modelle mit Lecks hoch (Quelle: Cyera). Ollama ermöglicht es Benutzern, Modellinstanzen aus hochgeladenen Dateien zu erstellen, einschließlich GGUF-Modelldateien, die Tensoren, Metadaten und weitere Modellinformationen für die lokale Inferenz kapseln. Die Schwachstelle in Ollama gefährdet Server.

Der anfällige Pfad ist mit dem Modell-Erstellungsprozess verbunden, bei dem Ollama über seine API hochgeladene Dateien verarbeitet und diese für die Konvertierung und Speicherung vorbereitet. Forscher stellten fest, dass eine speziell gestaltete GGUF-Datei diesen Prozess ausnutzen kann, indem sie eine Tensor-Form deklariert, die deutlich größer ist als die tatsächlich im Dateiinhalt gespeicherten Daten.

Dies führt dazu, dass der Server jenseits des intendierten Puffers liest. Die Schwachstelle tritt während der Tensor-Konvertierung auf, bei der Ollama Go-Funktionalitäten für unsicheren Code (unsafe) nutzt, um niedrigstufige Speicheroperationen durchzuführen, anstatt sich innerhalb normaler Sicherheitsgrenzen zu bewegen.

Da die Software nicht ordnungsgemäß validiert,

Da die Software nicht ordnungsgemäß validiert, ob die Tensor-Metadaten mit der tatsächlichen Dateigröße übereinstimmen, kann die Konvertierungsroutine einen Heap-Lesezugriff außerhalb der Grenzen auslösen und benachbarte, nicht verwandte Speicherinhalte erfassen. Der Angreifer sendet eine fehlerhafte GGUF-Tensor-Struktur, was zu einem Speicherüberlauf führt (Quelle: Cyera).

Dieser freigegebene Speicher wird dann in eine neu erstellte Modelldatei übernommen, anstatt verworfen zu werden. Der Angriff wird besonders gefährlich, da Forschende einen Weg gefunden haben, das abgeleckte Speicherinhalte während der Konvertierung in lesbarer Form zu erhalten.

Durch die Verwendung eines float-16-Quell-Tensors und das Erzwingen eines float-32-Ziel-Tensors kann der Angreifer auf einen verlustfreien Konvertierungsweg zurückgreifen, der die gestohlenen Bytes erhält, anstatt sie durch verlustbehaftete Quantisierung zu verfälschen. Die Umkehrung der Quantisierung macht Heap-Daten zugänglich (Quelle: Cyera).

Sobald das bösartige Modell erstellt wurde,

Sobald das bösartige Modell erstellt wurde, kann die Push-Funktion vom Angreifer kontrollierten Server hochladen und damit die abgeleckten Speicherinhalte vom Zielsystem effektiv exfiltrieren. Laut der Cyera-Forschung können die abgeleckten Heap-Daten Benutzeranfragen, Systemanweisungen anderer Modelle sowie Umgebungsvariablen enthalten, die vom Host gespeichert werden, auf dem Ollama läuft.

In Unternehmensumgebungen kann dies API-Schlüssel, interne Anweisungen, proprietären Code, kundenbezogene Inhalte und andere hochsensible Materialien offenlegen, die äufen verarbeitet werden. Das Risiko steigt weiter, wenn Ollama mit externen Tools oder Coding-Assistenten verbunden wird, da deren Ausgaben ebenfalls über den Speicher geleitet werden und Teil dessen werden, was ein Angreifer stiehlt.

Das Problem betrifft Ollama-Implementierungen vor Version 0.17.1, die den referenzierten relevanten Sicherheitspatch enthält. Organisationen sollten unverzüglich aktualisieren, jegliche öffentliche Exposition entfernen, Ollama hinter Authentifizierungssteuerelementen platzieren und den Zugriff auf vertrauenswürdige interne Netzwerke beschränken.

Jede Umgebung, die internetzugänglich war, sollte zudem Protokolle überprüfen, Geheimnisse rotieren und davon ausgehen, dass Prompts und Umgebungsdaten möglicherweise bereits offengelegt wurden. Sie uns auf