Penjelasan teknis
Kerentanan pembacaan out-of-bounds heap dalam pemuat model GGUF Ollama memungkinkan penyerang untuk memicu kerusakan memori selama kuantisasi model. Endpoint /api/create menerima file GGUF yang disuplai penyerang di mana offset tensor dan ukuran yang dideklarasikan melebihi panjang sebenarnya dari file. Ketika Ollama memproses file tersebut selama kuantisasi di fs/ggml/gguf.go dan server/quantization, ia membaca melampaui batas memori yang dialokasikan, memungkinkan eksekusi kode arbitrer dalam konteks proses server Ollama.
Vektor serangan
Penyerang dapat membuat file model GGUF berbahaya dan mengirimkannya ke endpoint /api/create. Jika instans Ollama organisasi terbuka atau jika penyerang memiliki akses jaringan internal, mereka dapat mengunggah file model yang dilukai. Saat diproses, pembacaan out-of-bounds dipicu, memungkinkan penyerang menjalankan kode arbitrer di server yang menghost Ollama, berpotensi mendapatkan kontrol penuh atas sistem dan akses ke semua model serta data yang dikelola oleh instans tersebut.
Sistem yang terdampak
Versi Ollama sebelum 0.17.1. Ollama banyak digunakan untuk inferensi LLM lokal dan manajemen model di lingkungan perusahaan, workstation pengembang, dan laboratorium penelitian.
Mitigasi
Tingkatkan ke Ollama versi 0.17.1 atau lebih baru segera. Organisasi harus mengaudit semua instans Ollama (termasuk laptop pengembang dan penerapan edge) untuk memastikan bahwa mereka sudah ditambal. Jika penambal an segera tidak dapat dilakukan, batasi akses ke endpoint /api/create melalui segmentasi jaringan atau kontrol autentikasi, dan pantau aktivitas pengunggahan model yang mencurigakan.