Уязвимость Bleeding Llama (CVE-2026-7482)
Введение
В популярной платформе для локального запуска LLM-моделей Ollama обнаружена критическая уязвимость CVE-2026-7482, получившая название Bleeding Llama.
Проблема позволяет удалённому неаутентифицированному злоумышленнику получить содержимое памяти процесса Ollama и извлечь чувствительные данные сервера.
Что произошло
Уязвимость затрагивает версии Ollama ниже 0.17.1.
Причина связана с ошибкой обработки файлов моделей формата GGUF. При обработке специально сформированного файла сервер некорректно проверяет размеры tensor-данных, что приводит к чтению памяти за пределами выделенного буфера (heap out-of-bounds read).
В результате атакующий может получить:
- API-ключи и токены;
- переменные окружения;
- system prompt;
- пользовательские запросы;
- фрагменты диалогов и результатов генерации.
Особенности эксплуатации
По данным исследователей, атака может быть выполнена всего несколькими HTTP-запросами через API:
/api/create
/api/push
При стандартной конфигурации Ollama эти endpoint могут быть доступны без аутентификации.
Исследователи также отмечают, что большое количество серверов Ollama опубликованы напрямую в интернет с привязкой к:
0.0.0.0
Это значительно упрощает удалённую эксплуатацию уязвимости.
Уязвимость исправлена в версии Ollama 0.17.1 и новее.
Рекомендуемые действия:
- обновить Ollama до актуальной версии;
- закрыть публичный доступ к API;
- ограничить доступ через firewall или reverse proxy;
- проверить логи на обращения к
/api/createи/api/push; - сменить API-ключи и другие секреты, если сервер был доступен из интернета.
Дополнительно
Отдельно исследователи обратили внимание на то, что исправление было опубликовано без явного упоминания критической уязвимости в changelog, из-за чего многие администраторы могли не придать обновлению должного приоритета.
По оценкам исследователей, проблема может затрагивать сотни тысяч публично доступных инстансов Ollama, опубликованных напрямую в интернет.