Groups | Search | Server Info | Login | Register
Groups > cn.comp.hacker > #8787
| From | Mobot <mobot@fakemail.com> |
|---|---|
| Newsgroups | cn.comp, cn.comp.hacker |
| Subject | [F] Ollama 越界读取漏洞可导致远程进程内存泄露 |
| Date | 2026-05-11 16:35 +0000 |
| Organization | BWH Usenet Archive (https://usenet.blueworldhosting.com) |
| Message-ID | <10tt0gl$pet$1@nnrp.usenet.blueworldhosting.com> (permalink) |
Cross-posted to 2 groups.
网络安全研究人员披露了 Ollama 中存在的一个严重安全漏洞,攻击者若成功利用该漏洞,可在未经身份验证的情况下远程泄露其整个进程内存。这个越界读取缺陷(CVE-2026-7482,CVSS 评分:9.1)被 Cyera 命名为 Bleeding Llama,预计影响全球超过 30 万台服务器。 Ollama 是一个流行的开源框架,允许在本地而非云端运行大语言模型(LLM)。该项目在 GitHub 上已获得超过 17.1 万星标,并被分叉超过 1.61 万次。 根据 CVE.org 对该漏洞的描述:"Ollama 0.17.1 之前版本中的 GGUF 模型加载器存在堆越界读取漏洞。/api/create 端点接受攻击者提供的 GGUF 文件,其中声明的张量偏移量和大小超过文件实际长度;在 fs/ggml/gguf.go 和 server/quantization.go(WriteTo())中进行量化时,服务器会读取超出分配的堆缓冲区范围。" GGUF(GPT-Generated Unified Format 的缩写)是一种用于存储大语言模型的文件格式,便于在本地加载和执行。该问题的核心在于 Ollama 从 GGUF 文件创建模型时使用了 unsafe 包,特别是在名为 "WriteTo()" 的函数中,从而可能绕过编程语言的内存安全保证执行操作。 在假设的攻击场景中,攻击者可以向暴露的 Ollama 服务器发送特制的 GGUF 文件,将张量的形状设置为非常大的数字,从而在使用 /api/create 端点创建模型时触发越界堆读取。成功利用该漏洞可能会泄露 Ollama 进程内存中的敏感数据,包括环境变量、API 密钥、系统提示和并发用户的对话数据。攻击者可通过 /api/push 端点将生成的模型工件上传到其控制的注册表来窃取这些数据。 该漏洞利用链分为三个步骤: 使用 HTTP POST 请求向网络可访问的 Ollama 服务器上传具有膨胀张量形状的特制 GGUF 文件 使用 /api/create 端点激活模型创建,触发越界读取漏洞 使用 /api/push 端点将堆内存中的数据外泄到外部服务器 Cyera 安全研究员 Dor Attias 表示:"攻击者基本上可以从你的 AI 推理中了解组织的任何信息——API 密钥、专有代码、客户合同等等。" "更重要的是,工程师经常将 Ollama 连接到 Claude Code 等工具。在这些情况下,影响更大——所有工具输出都会流向 Ollama 服务器,保存在堆中,并可能最终落入攻击者手中。" 建议用户应用最新修复程序、限制网络访问、审核运行实例的互联网暴露情况,并将其隔离在防火墙后。还建议在所有 Ollama 实例前部署身份验证代理或 API 网关,因为 REST API 默认不提供身份验证功能。 Ollama 中两个未修补漏洞可导致持久性代码执行 研究人员发现 Ollama 的 Windows 更新机制存在两个漏洞,可串联实现持久性代码执行。这些缺陷在 2026 年 1 月 27 日披露后仍未修补,并在 90 天披露期结束后公开。 据 Striga 联合创始人 Bartłomiej "Bartek" Dmitruk 介绍,Windows 桌面客户端会在登录时从 Windows 启动文件夹自动启动,监听 127.0.0[.]1:11434,并通过 /api/update 端点定期在后台轮询更新,以便在下次应用启动时运行任何待处理的更新。 已识别的漏洞涉及路径遍历和签名检查缺失,与登录时例程结合使用时,攻击者可通过影响更新响应在每次登录时执行任意代码。这些漏洞如下: CVE-2026-42248(CVSS 评分:7.7)- 签名验证缺失漏洞,与 macOS 版本不同,Windows 版本在安装前不验证更新二进制文件 CVE-2026-42249(CVSS 评分:7.7)- 路径遍历漏洞,源于 Windows 更新程序直接从 HTTP 响应头创建安装程序暂存目录的本地路径而未进行清理 要利用这些漏洞,攻击者需要控制受害者 Ollama 客户端可访问的更新服务器。在这种情况下,攻击者可将任意可执行文件作为更新过程的一部分提供,并将其写入 Windows 启动文件夹而不会引发任何签名检查问题。 控制更新响应的一种方法是覆盖 OLLAMA_UPDATE_URL,将客户端指向纯 HTTP 上的本地服务器。攻击链还假设 AutoUpdateEnabled 处于开启状态(这是默认设置)。 此外,完整性检查缺失可单独导致代码执行,无需利用路径遍历漏洞。在这种情况下,安装程序会被放入预期的暂存目录。下次从启动文件夹启动时,更新过程会在不重新验证签名的情况下被调用,从而导致执行攻击者的代码。 不过,远程代码执行不是持久性的,因为下一次合法更新会覆盖暂存文件。通过添加路径遍历,攻击者可将可执行文件重定向到常规路径之外的位置,从而实现持久性代码执行。 根据接管协调披露过程的 CERT Polska 的说法,Windows 版 Ollama 0.12.10 至 0.17.5 版本易受这两个漏洞影响。在此期间,建议用户关闭自动更新,并从启动文件夹("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup")中删除任何现有的 Ollama 快捷方式,以禁用静默登录执行路径。 Dmitruk 表示:"任何运行 0.12.10 至 0.22.0 版本的 Windows 版 Ollama 安装都易受攻击。路径遍历会将攻击者选择的可执行文件写入 Windows 启动文件夹。签名验证缺失会使它们保留在那里:在正常工作的更新程序上会删除未签名文件的写入后清理操作在 Windows 上是无效的。下次登录时,Windows 会运行任何遗留的内容。" "该利用链会在运行 Ollama 的用户权限级别产生持久、静默的代码执行。实际的 payload 包括反向 shell、窃取浏览器秘密和 SSH 密钥的信息窃取程序,或转向其他持久性机制的投放器。任何以当前用户身份运行的内容都可以。从启动文件夹中删除投放的二进制文件会结束持久性,但根本缺陷仍然存在。" 参考来源: Ollama Out-of-Bounds Read Vulnerability Allows Remote Process Memory Leak [0] Ollama Out-of-Bounds Read Vulnerability Allows Remote Process Memory Leak: https://thehackernews.com/2026/05/ollama-out-of-bounds-read-vulnerability.html https://www.freebuf.com/articles/ai-security/480606.html Sun, 10 May 2026 18:11:00 +0800 -- Mobot If you have any comments on this article, feel free to follow up. However, for feedback on the bot, please post to the cn.fan newsgroup. BTC donation: bc1qkatj3eghdt7n28hnyv5tmd9lsdvpz94lrf5f4w
Back to cn.comp.hacker | Previous | Next | Find similar
[F] Ollama 越界读取漏洞可导致远程进程内存泄露 Mobot <mobot@fakemail.com> - 2026-05-11 16:35 +0000
csiph-web