기술 설명
Ollama의 GGUF 모델 로더의 힙 out-of-bounds 읽기 취약점으로 인해 공격자는 모델 양자화 중 메모리 손상을 트리거할 수 있습니다. /api/create 엔드포인트는 선언된 텐서 오프셋 및 크기가 파일의 실제 길이를 초과하는 공격자가 제공한 GGUF 파일을 허용합니다. Ollama가 fs/ggml/gguf.go 및 server/quantization의 양자화 중에 이러한 파일을 처리할 때, 할당된 메모리 경계를 넘어 읽기를 수행하여 Ollama 서버 프로세스의 컨텍스트에서 임의 코드 실행을 가능하게 합니다.
공격 경로
공격자는 악성 GGUF 모델 파일을 작성하고 /api/create 엔드포인트에 제출할 수 있습니다. 조직의 Ollama 인스턴스가 노출되거나 공격자가 내부 네트워크 액세스를 가진 경우, 무기화된 모델 파일을 업로드할 수 있습니다. 처리 시 out-of-bounds 읽기가 트리거되어 공격자가 Ollama를 호스팅하는 서버에서 임의 코드를 실행할 수 있으며, 잠재적으로 시스템의 전체 제어 및 인스턴스에서 관리하는 모든 모델과 데이터에 대한 액세스를 얻을 수 있습니다.
영향받는 시스템
0.17.1 이전의 Ollama 버전. Ollama는 엔터프라이즈 환경, 개발자 워크스테이션 및 연구 랩에서 로컬 LLM 추론 및 모델 관리를 위해 광범위하게 배포됩니다.
완화 방안
즉시 Ollama 버전 0.17.1 이상으로 업그레이드하십시오. 조직은 모든 Ollama 인스턴스(개발자 랩톱 및 엣지 배포 포함)를 감사하여 패치가 적용되었는지 확인해야 합니다. 즉시 패치가 불가능한 경우, 네트워크 분할 또는 인증 제어를 통해 /api/create 엔드포인트에 대한 액세스를 제한하고 의심스러운 모델 업로드 활동을 모니터링하십시오.