技術的な説明
Ollama バージョン 0.17.1 より前には、GGUF モデルローダーにヒープ範囲外読み取り脆弱性が存在します。/api/create エンドポイントは、攻撃者が供給した GGUF ファイルを受け入れます。この場合、宣言されたテンソルオフセットとサイズがファイルの実際の長さを超えています。モデル量子化中に、サーバーは割り当てられたヒープバッファを越えて読み取り、任意のプロセスメモリをリークします。
攻撃経路
リモート、未認証。攻撃者は、拡張されたテンソル形状を持つ細工された GGUF モデルファイルを HTTP POST 経由で、公開されている Ollama サーバーの /api/create エンドポイントにアップロードし、ヒープ範囲外読み取りをトリガーします。リークされたデータは /api/push エンドポイント経由で攻撃者が管理するレジストリに流出されます。
影響を受けるシステム
Ollama バージョン 0.17.1 より前(GitHub: 171k+ スター、16k+ フォーク)。悪用は世界中の約 300,000 の Ollama サーバーに影響を与える可能性があります。Ollama が Claude Code または他のエージェントツールにチェーンされている環境では特に影響があります。このような環境では、すべての推論出力が脆弱なサーバーメモリを通過します。
緩和策
直ちに Ollama 0.17.1 以降にアップグレードしてください。すべての Ollama インスタンスを認証プロキシまたは API ゲートウェイの後ろに隔離してください(REST API には組み込み認証がありません)。Ollama エンドポイントへのネットワークアクセスを制限してください。既存デプロイメントをインターネット公開について監査してください。疑わしい GGUF ファイルアップロードを検出するための WAF ルールをデプロイしてください。パッチが適用されるまで、Ollama を機密データフローとエージェントツールパイプラインから分離してください。