기술 설명
Ollama 0.17.1 이전 버전에는 GGUF 모델 로더에서 힙 범위 초과 읽기 취약점이 포함되어 있습니다. /api/create 엔드포인트는 선언된 텐서 오프셋과 크기가 파일의 실제 길이를 초과하는 공격자 제공 GGUF 파일을 수락합니다. 모델 양자화 중에 서버는 할당된 힙 버퍼를 초과하여 읽고 임의의 프로세스 메모리를 누수합니다.
공격 경로
원격, 인증 없음. 공격자는 HTTP POST를 통해 부풀려진 텐서 형태의 조작된 GGUF 모델 파일을 노출된 Ollama 서버의 /api/create 엔드포인트에 업로드하여 힙 범위 초과 읽기를 트리거합니다. 누수된 데이터는 /api/push 엔드포인트를 통해 공격자 제어 레지스트리로 유출됩니다.
영향받는 시스템
Ollama 0.17.1 이전 버전 (GitHub: 171k+ 스타, 16k+ 포크). 악용으로 인해 전 세계 약 300,000개의 Ollama 서버가 영향을 받을 가능성이 있습니다. Ollama가 Claude Code 또는 기타 에이전트 도구에 연결되어 있는 환경에서 특히 영향이 크며, 모든 추론 출력이 취약한 서버 메모리를 통해 흐릅니다.
완화 방안
즉시 Ollama 0.17.1 이상으로 업그레이드하세요. 모든 Ollama 인스턴스를 인증 프록시 또는 API 게이트웨이 뒤에 격리하세요 (REST API는 기본 인증이 없음). Ollama 엔드포인트에 대한 네트워크 액세스를 제한하세요. 기존 배포에서 인터넷 노출 여부를 감사하세요. 의심스러운 GGUF 파일 업로드를 감지하는 WAF 규칙을 배포하세요. 패치될 때까지 Ollama를 민감한 데이터 흐름 및 에이전트 도구 파이프라인에서 분리하세요.