Penjelasan teknis
Ollama sebelum versi 0.17.1 mengandung kerentanan heap out-of-bounds read di GGUF model loader. Endpoint /api/create menerima file GGUF yang disuplai penyerang di mana offset tensor yang dideklarasikan dan ukuran melebihi panjang file yang sebenarnya. Selama kuantisasi model, server membaca melewati buffer heap yang dialokasikan, membocorkan memori proses arbitrer.
Vektor serangan
Remote, unauthenticated. Penyerang mengunggah file model GGUF yang dirancang dengan bentuk tensor yang membengkak melalui HTTP POST ke endpoint /api/create server Ollama yang terbuka, memicu heap out-of-bounds read. Data yang bocor dieksfiltrasi melalui endpoint /api/push ke registry yang dikendalikan penyerang.
Sistem yang terdampak
Versi Ollama sebelum 0.17.1 (GitHub: 171k+ bintang, 16k+ garpu). Eksploitasi kemungkinan mempengaruhi ~300,000 server Ollama secara global. Sangat berdampak dalam lingkungan di mana Ollama dirantai ke Claude Code atau alat agen lainnya, di mana semua output inferensi mengalir melalui memori server yang rentan.
Mitigasi
Tingkatkan ke Ollama 0.17.1 atau yang lebih baru segera. Isolasikan semua instance Ollama di belakang proxy autentikasi atau API gateway (REST API tidak memiliki autentikasi bawaan). Batasi akses jaringan ke endpoint Ollama. Audit deployment yang ada untuk paparan internet. Terapkan aturan WAF untuk mendeteksi unggahan file GGUF yang mencurigakan. Pisahkan Ollama dari aliran data sensitif dan pipeline alat agen hingga diperbaiki.