【安全圈】Ollama 越界讀取漏洞致遠程進程內存泄漏

關鍵詞

漏洞

網絡安全研究人員披露了 Ollama 中的一個嚴重安全漏洞，若該漏洞被成功利用，遠程且未經身份驗證的攻擊者可能泄露其整個進程內存。

這一越界讀取漏洞被追蹤為 CVE - 2026 - 7482（通用漏洞評分系統 CVSS 分數：9.1），Cyera 將其命名為 “流血的喇嘛（Bleeding Llama）”，全球可能有超 30 萬臺服務器受影響。

Ollama 是一個廣受歡迎的開源框架，借助它，大語言模型（LLMs）無需在云端運行，在本地即可實現。在 GitHub 上，該項目獲得超 17.1 萬顆星標，被復刻超 1.61 萬次。

CVE.org對該漏洞的描述為：“Ollama 0.17.1 版本之前，GGUF 模型加載器存在堆越界讀取漏洞。/api/create 端點接受攻擊者提供的 GGUF 文件，該文件中聲明的張量偏移量和大小超過文件實際長度；在 fs/ggml/gguf.go 和 server/quantization.go 中的量化過程（WriteTo () 函數）中，服務器會讀取超出已分配堆緩沖區的內容。”

GGUF 即 GPT 生成的統一格式（GPT - Generated Unified Format），是一種用于存儲大語言模型的文件格式，便于在本地輕松加載和執行模型。

根本問題在于，Ollama 從 GGUF 文件創建模型時，特別是在名為 “WriteTo ()” 的函數中，使用了 unsafe 包，這使得繞過編程語言內存安全保障的操作成為可能。

在假設的攻擊場景中，惡意行為者可向暴露的 Ollama 服務器發送特制的 GGUF 文件，將張量形狀設置為非常大的數字，通過 /api/create 端點創建模型時觸發堆越界讀取。成功利用此漏洞可能泄露 Ollama 進程內存中的敏感數據。

這些數據可能包括環境變量、API 密鑰、系統提示以及并發用戶的對話數據。攻擊者可通過 /api/push 端點將生成的模型工件上傳到其控制的注冊表，從而竊取這些數據。

漏洞利用鏈分三步展開：

1. 使用 HTTP POST 請求，將張量形狀被夸大的特制 GGUF 文件上傳到可網絡訪問的 Ollama 服務器。

2. 利用 /api/create 端點激活模型創建，觸發越界讀取漏洞。

3. 利用 /api/push 端點將堆內存中的數據泄露到外部服務器。

Cyera 安全研究員多爾?阿提亞斯（Dor Attias）表示：“攻擊者基本上可以從你的人工智能推理過程中獲取組織的任何信息 ——API 密鑰、專有代碼、客戶合同等等。”

“不僅如此，工程師常將 Ollama 與 Claude Code 等工具連接。在這種情況下，影響更為嚴重 —— 所有工具輸出都會流向 Ollama 服務器，保存在堆中，最終可能落入攻擊者之手。”

建議用戶應用最新修復程序，限制網絡訪問，檢查運行實例是否暴露在互聯網上，并通過防火墻進行隔離和保護。由于 REST API 本身不提供身份驗證，還建議在所有 Ollama 實例前部署身份驗證代理或 API 網關。

Ollama 中兩個未修復漏洞可致持久代碼執行

與此同時，Striga 的研究人員詳細分析了 Ollama Windows 更新機制中的兩個漏洞，這兩個漏洞可被串聯起來實現持久代碼執行。自 2026 年 1 月 27 日披露后，這些缺陷仍未修復，在 90 天披露期過后相關信息已被公開。

Striga 聯合創始人巴爾托米耶伊?“巴爾泰克”?德米特魯克（Bart?omiej “Bartek” Dmitruk）稱，Windows 桌面客戶端在登錄時會從 Windows 啟動文件夾自動啟動，監聽 127.0.0 [.] 1:11434 端口，并通過 /api/update 端點定期在后臺輪詢更新，以便在應用下次啟動時運行任何待處理的更新。

已識別的漏洞涉及路徑遍歷和簽名缺失檢查，與登錄例程結合后，若攻擊者能影響更新響應，就可在每次登錄時執行任意代碼。以下是這些漏洞：

• CVE - 2026 - 42248（CVSS 分數：7.7）—— 缺失簽名驗證漏洞，與 macOS 版本不同，Windows 版本在安裝更新二進制文件前不驗證其簽名。

• CVE - 2026 - 42249（CVSS 分數：7.7）—— 路徑遍歷漏洞，Windows 更新程序直接從 HTTP 響應頭創建安裝程序臨時目錄的本地路徑，未進行清理。

要利用這些漏洞，攻擊者需控制受害者 Ollama 客戶端可訪問的更新服務器。在這種情況下，可能出現的場景是，作為更新過程一部分提供的任意可執行文件被寫入 Windows 啟動文件夾，且不會引發任何簽名檢查問題。

為控制更新響應，一種方法是覆蓋 OLLAMA_UPDATE_URL，使客戶端指向普通 HTTP 協議的本地服務器。攻擊鏈還假設自動更新功能（AutoUpdateEnabled）處于開啟狀態，這是默認設置。

此外，缺失完整性檢查本身就可能導致代碼執行，無需利用路徑遍歷漏洞。在這種情況下，安裝程序會被放置到預期的臨時目錄。下次從啟動文件夾啟動時，更新過程將在不重新驗證簽名的情況下被調用，從而導致攻擊者的代碼被執行。

不過，遠程代碼執行并非持久的，因為下一次合法更新會覆蓋臨時文件。結合路徑遍歷漏洞，惡意行為者可將可執行文件重定向到常規路徑之外的位置，實現持久代碼執行。

負責協調披露過程的波蘭計算機應急響應小組（CERT Polska）稱，Ollama for Windows 0.12.10 至 0.17.5 版本易受這兩個漏洞影響。在此期間，建議用戶關閉自動更新，并從啟動文件夾（“% APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup”）中刪除任何現有的 Ollama 快捷方式，以禁用登錄時的靜默執行路徑。

德米特魯克表示：“任何運行 0.12.10 至 0.22.0 版本的 Ollama for Windows 安裝都存在漏洞。路徑遍歷會將攻擊者選定的可執行文件寫入 Windows 啟動文件夾。缺失簽名驗證會使這些文件保留在那里：正常更新程序中用于刪除未簽名文件的寫入后清理操作在 Windows 上不起作用。下次登錄時，Windows 會運行遺留在那里的任何文件。”

“這一系列操作會以運行 Ollama 的用戶權限級別實現持久、靜默的代碼執行。實際的有效載荷包括反向 Shell、竊取瀏覽器機密和 SSH 密鑰的信息竊取程序，或者用于轉向其他持久化機制的釋放器。任何以當前用戶身份運行的程序都有可能。從啟動文件夾中刪除放置的二進制文件可結束這種持久性，但底層漏洞依然存在。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！