Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Cyera Research · 10.5., 00:17 · sikkerhet

Kritisk minnelekkasje i Ollama eksponerer 300.000 servere (CVE-2026-7482)

SYNOPSIS_GENERERT

CVE-2026-7482 (CVSS 9.1) lar en uautentisert angriper lekke hele heap-minnet til en Ollama-prosess med tre API-kall, og rammer rundt 300.000 servere som står åpne mot internett. Oppgrader til Ollama 0.17.1 umiddelbart.

Tre API-kall. Det er alt sikkerhetsforskerne i Cyera Research trenger for å hente ut hele heap-minnet fra en Ollama-server uten å logge inn. CVE-2026-7482 fikk CVSS-score 9.1 og rammer rundt 300.000 servere som står åpne mot internett. Ollama lytter på 0.0.0.0 uten autentisering ut av boksen, så standard-installasjonen er sårbar med mindre du har lagt på et lag selv.

Feilen ligger i /api/create-endepunktet, som godtar GGUF-modellfiler og kjører kvantisering på dem. Cyera viser at GGUF-formatet ikke validerer at tensor-størrelsen i headeren faktisk samsvarer med datalengden. En angriper kan oppgi at en tensor har én million elementer mens selve dataen er en brøkdel av det, og loopen som konverterer F16 til F32 leser blindt forbi heap-bufferet. Det som ligger ved siden av i minnet, ender på disk i den nye modellfilen.

«Lekket data inneholder brukerprompter, systemprompter fra andre modeller, og miljøvariabler fra maskinen som kjører Ollama-serveren. Alt høyst sensitiv informasjon, nå eksponert med kun tre API-kall.» (Cyera Research)

Den siste delen er angripertrikset: /api/push lar deg sende en lokal modell til en URL. Siden Ollama ikke validerer at modellnavnet ikke ser ut som en URI, kan navnet rett og slett være http://attacker-server.com/leak:tag. Push-kallet leverer det lekkede minnet rett til en angriperkontrollert server.

CSO Online peker på at risikoen vokser med hva Ollama er koblet til. Engineerings-team kobler ofte Ollama mot Claude Code eller andre verktøy, og da flyter tool-output, API-nøkler og kildekode gjennom heap-en før det lekker.

«Ollama-sårbarheten viser farene med KI-rammeverk som har ubegrenset tilgang til hostmaskinen.» (Lucian Constantin, CSO Online)

Cyera meldte feilen til Ollama 2. februar. En patch ble klar 25. februar, men ble ikke flagget som sikkerhetsoppdatering, så brukere som ikke fulgte med på commit-historikken sto eksponert i månedsvis. Versjon 0.17.1 inneholder fiksen.

Hva bør du gjøre?

  1. Oppgrader til Ollama 0.17.1 eller nyere. Sjekk versjon med ollama --version og oppdater via curl -fsSL https://ollama.com/install.sh | sh.
  2. Bind serveren til loopback eller intern adresse. Sett OLLAMA_HOST=127.0.0.1:11434 i environment før du starter daemonen, slik at den ikke lytter på 0.0.0.0.
  3. Sett serveren bak autentisering hvis du må eksponere den utenfor maskinen. Bruk en reverse proxy (nginx, Caddy) med basic auth eller mTLS. Aldri direkte mot internett.
  4. Roter alle API-nøkler som kan ha blitt lest fra miljøvariabler på samme prosess hvis serveren har vært eksponert.
>_ NØKKELTALL
9.1: CVSS-score for CVE-2026-7482
300 000: Eksponerte Ollama-servere globalt
3: API-kall som trengs for full minnelekkasje
0.17.1: Versjonen som inneholder fiksen
Åpne eksternt kildedokument
sikkerhetselvhostetlokale-modeller

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN