SchwachstellenKI-SicherheitDatenschutz

Bleeding Llama: Kritische Sicherheitslücke bedroht 300.000 Ollama-Installationen weltweit

Von CyberDeutsch Redaktion
Bleeding Llama: Kritische Sicherheitslücke bedroht 300.000 Ollama-Installationen weltweit
Zusammenfassung

Eine kritische Sicherheitslücke in Ollama, einer beliebten Open-Source-Plattform für die lokale Ausführung von Large Language Models, bedroht etwa 300.000 weltweit verbreitete Installationen. Die als „Bleeding Llama" bezeichnete Schwachstelle (CVE-2026-7482) ermöglicht es Angreifern, sensible Informationen wie Prompts, API-Schlüssel, Token und Umgebungsvariablen aus dem Arbeitsspeicher auszulesen – ohne dass eine Authentifizierung erforderlich ist. Das Sicherheitsunternehmen Cyera warnt, dass die Anfälligkeit sofort und großflächig ausnutzbar ist, da Ollama standardmäßig ohne Authentifizierung startet und auf allen Netzwerkschnittstellen lauscht. Besonders problematisch ist, dass Angreifer mit nur drei unauthentizierten API-Aufrufen die Sicherheitslücke ausnutzen und gestohlene Daten auf ihre Server übertragen können. Für deutsche Unternehmen und Behörden, die Ollama für KI-Anwendungen einsetzen, besteht erhebliches Risiko – insbesondere wenn die Systeme ohne Firewall oder Authentifizierungs-Proxy ans Internet angebunden sind. Die Schwachstelle wurde in Version 0.17.1 behoben, wodurch sofortige Updates und Netzwerksicherungsmaßnahmen zur Dringlichkeit werden.

Die Cybersecurity-Firma Cyera hat die Sicherheitslücke entdeckt und analysiert. Sie zeigt auf, wie ein Angreifer mit nur drei unauthentifizierten API-Aufrufen sensible Daten abgreifen kann – ein besorgniserregendes Szenario für Organisationen, die Ollama ohne entsprechende Schutzmaßnahmen betreiben.

Die technische Natur der Sicherheitslücke liegt in einem Heap-Out-of-Bounds-Read-Fehler im GGUF-Modell-Loader von Ollama. Ein Angreifer kann eine präparierte GGUF-Datei mit manipulierten Tensor-Offset- und Größenangaben hochladen, die größer sind als die tatsächliche Dateigröße. Beim Verarbeiten dieser Datei liest Ollama über die zugewiesene Heap-Buffer-Grenze hinaus und greift auf Speicherbereiche zu, die vertrauliche Daten enthalten können.

Das Gefährliche daran: Ollama verfügt über eine integrierte Modell-Push-Funktion, mit der Angreifer die gestohlenen Daten – inklusive der aus dem Speicher ausgelesenen Informationen – an einen kontrollierten Server übertragen können. Die gesamte Attacke erfordert lediglich Netzwerkzugriff auf die Ollama-Instanz, keine Anmeldedaten.

Die mit einer CVSS-Bewertung von 9,3 bewertete Schwachstelle wurde in Version 0.17.1 geschlossen. Jedoch besteht das eigentliche Problem: Ungefähr 300.000 Ollama-Server sind derzeit im Internet exponiert, und viele Betreiber haben das Update vermutlich noch nicht eingespielt.

Für deutsche Unternehmen bedeutet dies konkrete Risiken. Sind Ollama-Instanzen internetexponiert und verarbeiten sie sensible Daten – etwa personenbezogene Informationen von Kunden oder Mitarbeitern –, liegt ein DSGVO-Verstoß vor. Nach der Datenschutz-Grundverordnung müssen Lecks von personenbezogenen Daten dem BSI und betroffenen Personen gemeldet werden. Zudem drohen Bußgelder bis zu 4 Prozent des globalen Jahresumsatzes.

Cyera empfiehlt: Sofortiges Patch-Update auf Version 0.17.1 oder höher, Netzwerkzugriff einschränken, ein Authentifizierungs-Proxy vor Ollama platzieren und Netzwerk-Segmentierung implementieren. Besonders wichtig: Eine sofortige Audit durchführen, ob eigene Ollama-Instanzen aus dem Internet erreichbar sind. Falls ja, sollten Betreiber davon ausgehen, dass die Instanz und alle darin verarbeiteten Daten bereits kompromittiert sind.

Ähnliche Artikel