技术说明
Ollama 0.17.1版本之前的版本在GGUF模型加载器中包含堆越界读取漏洞。/api/create端点接受攻击者提供的GGUF文件,其中声明的张量偏移量和大小超过文件的实际长度。在模型量化过程中,服务器读取超出已分配堆缓冲区的内容,泄漏任意进程内存。
攻击途径
远程、未认证。攻击者通过HTTP POST上传精心制作的GGUF模型文件,该文件具有夸大的张量形状,发送到暴露的Ollama服务器的/api/create端点,触发越界堆读取。泄漏的数据通过/api/push端点被泄露到攻击者控制的注册表。
受影响系统
Ollama 0.17.1版本之前的版本(GitHub: 17.1万+星标,1.6万+分支)。漏洞利用可能影响全球约30万台Ollama服务器。在Ollama与Claude Code或其他代理工具链接的环境中影响特别严重,因为所有推理输出都流经易受攻击的服务器内存。
缓解措施
立即升级到Ollama 0.17.1或更高版本。将所有Ollama实例隔离在认证代理或API网关后面(REST API没有内置认证)。限制对Ollama端点的网络访问。审计现有部署的互联网暴露情况。部署WAF规则以检测可疑的GGUF文件上传。在修补之前,将Ollama与敏感数据流和代理工具管道分离。