技術的な説明
バージョン 0.17.1 より前の Ollama には、GGUF モデルローダーにおけるヒープアウトオブバウンズ読み取り脆弱性が含まれています。/api/create エンドポイントは攻撃者が提供した GGUF ファイルを受け入れますが、宣言されたテンソルオフセットとサイズがファイルの実際の長さを超えています。モデル量子化中に、サーバーは割り当てられたヒープバッファを超えて読み取り、任意のプロセスメモリをリークさせます。
攻撃経路
リモート、認証なし。攻撃者は拡張されたテンソル形状を持つ細工された GGUF モデルファイルを HTTP POST 経由で公開されている Ollama サーバーの /api/create エンドポイントにアップロードし、アウトオブバウンズヒープ読み取りをトリガーしています。リークされたデータは /api/push エンドポイント経由で攻撃者が管理するレジストリに流出されています。
影響を受けるシステム
バージョン 0.17.1 より前の Ollama (GitHub: 17万1千以上のスター、1万6千以上のフォーク)。エクスプロイテーションはグローバルに約 30 万台の Ollama サーバーに影響を与える可能性があります。Ollama が Claude Code または他のエージェントツールにチェーンされている環境では特に影響が大きく、すべての推論出力が脆弱なサーバーメモリを通過します。
緩和策
直ちに Ollama 0.17.1 以降にアップグレードしてください。すべての Ollama インスタンスを認証プロキシまたは API ゲートウェイの背後に分離します (REST API には組み込みの認証がありません)。Ollama エンドポイントへのネットワークアクセスを制限してください。既存のデプロイメントをインターネット露出について監査してください。疑わしい GGUF ファイルアップロードを検出するための WAF ルールをデプロイしてください。パッチが適用されるまで、Ollama を機密データフローとエージェントツールパイプラインから分離してください。