Penjelasan teknis
Ollama sebelum versi 0.17.1 mengandung kerentanan pembacaan out-of-bounds heap di pemuatan model GGUF. Endpoint /api/create menerima file GGUF yang disuplai penyerang di mana offset tensor yang dideklarasikan dan ukuran melebihi panjang file sebenarnya. Selama kuantisasi model, server membaca melampaui buffer heap yang dialokasikan, membocorkan memori proses arbitrer.
Vektor serangan
Remote, tanpa autentikasi. Penyerang mengunggah file model GGUF yang dirancang dengan bentuk tensor yang meningkat melalui HTTP POST ke endpoint /api/create server Ollama yang terekspos, memicu pembacaan heap out-of-bounds. Data yang bocor dieksfiltrasi melalui endpoint /api/push ke registry yang dikendalikan penyerang.
Sistem yang terdampak
Versi Ollama sebelum 0.17.1 (GitHub: 171k+ bintang, 16k+ fork). Eksploitasi kemungkinan mempengaruhi ~300.000 server Ollama secara global. Sangat berdampak di lingkungan di mana Ollama dirantai ke Claude Code atau alat agen lainnya, di mana semua output inferensi mengalir melalui memori server yang rentan.
Mitigasi
Tingkatkan ke Ollama 0.17.1 atau lebih baru segera. Isolasi semua instance Ollama di belakang proxy autentikasi atau gateway API (REST API tidak memiliki autentikasi bawaan). Batasi akses jaringan ke endpoint Ollama. Audit deployment yang ada untuk eksposur internet. Terapkan aturan WAF untuk mendeteksi unggahan file GGUF yang mencurigakan. Pisahkan Ollama dari alur data sensitif dan pipa alat agen hingga diperbaiki.