Kritische Lücke "Bleeding Llama" bedroht rund 300.000 Ollama-Instanzen

Zusammenfassung

Eine kritische Schwachstelle in Ollama setzt nach Angaben des Sicherheitsunternehmens Cyera rund 300.000 öffentlich erreichbare Installationen dem Diebstahl sensibler Daten aus. Ollama ist eine quelloffene Lösung, um große Sprachmodelle (LLMs) lokal auszuführen, und wird in Organisationen häufig als selbst gehostete KI-Inferenz-Engine eingesetzt. Die als CVE-2026-7482 geführte Lücke trägt den Namen "Bleeding Llama" und erreicht einen CVSS-Wert von 9.3. Es handelt sich um einen Heap-Lesefehler außerhalb der zulässigen Grenzen (heap out-of-bounds read), der sich aus der Ferne und ohne Authentifizierung ausnutzen lässt. Über die Schwachstelle lassen sich laut Cyera vertrauliche Inhalte aus dem Heap-Speicher abgreifen, darunter Prompts, Nachrichten und Umgebungsvariablen mit API-Schlüsseln, Tokens und anderen Geheimnissen. Besonders kritisch: Ollama startet standardmäßig ohne Authentifizierung und lauscht auf allen Netzwerkschnittstellen, sodass jede aus dem Internet erreichbare Instanz angreifbar ist. Behoben wurde der Fehler in Ollama 0.17.1. Cyera rät dazu, das Update umgehend einzuspielen und den Netzwerkzugriff auf die Installationen einzuschränken.

Der Fehler steckt laut Cyera im GGUF-Modell-Loader von Ollama. Dieser akzeptiert eine von Angreifern bereitgestellte GGUF-Datei, in der ein Tensor-Offset und eine Größe deklariert sind, die über die tatsächliche Dateilänge hinausgehen. Beim Verarbeiten der Datei liest die Komponente über den zugewiesenen Heap-Puffer hinaus und greift dabei auf Speicherbereiche zu, die sensible Informationen enthalten können.

Den eigentlichen Datenabfluss beschreibt Cyera als zweiten Schritt: “Der Angreifer nutzt anschließend die in Ollama integrierte Funktion zum Hochladen von Modellen, um die entstandene Datei – samt der gestohlenen Heap-Daten – auf einen von ihm kontrollierten Server zu übertragen. Der gesamte Angriff erfordert lediglich drei unauthentifizierte API-Aufrufe.”

Die Tragweite ergibt sich aus der Standardkonfiguration. Da Ollama ohne Authentifizierung startet und auf allen Netzwerkschnittstellen lauscht, sind nach Darstellung von Cyera sämtliche aus dem Internet erreichbaren Instanzen betroffen. “Da derzeit etwa 300.000 Ollama-Server im öffentlichen Internet exponiert sind, ist diese Schwachstelle unmittelbar und in großem Umfang ausnutzbar – ganz ohne Zugangsdaten”, warnt das Unternehmen.

Welche Daten konkret offenliegen, hängt vom Einsatzzweck ab. Je nach Nutzung können laut Cyera Interaktionen von Mitarbeitenden, Entwicklungscode, weitergeleitete Tool-Ausgaben sowie Prompts mit personenbezogenen Daten (PII), Gesundheitsdaten (PHI) und weiteren sensiblen Informationen exponiert werden. Gefährdet sei “jede Installation, bei der Ollama netzwerkseitig erreichbar ist, ohne dass eine Firewall oder ein Authentifizierungs-Proxy vorgeschaltet ist”.

Behoben ist die Schwachstelle in Ollama-Version 0.17.1. Cyera empfiehlt, den Fix schnellstmöglich anzuwenden und den Netzwerkzugriff zu beschränken; ein vorgeschalteter Authentifizierungs-Proxy und eine Netzwerksegmentierung sollen die Sicherheit erhöhen. Zudem sollten Organisationen laufende Instanzen auf eine Internet-Exposition prüfen und jede aus dem Internet erreichbare Instanz – einschließlich der durchgereichten Umgebungsvariablen und Daten – als kompromittiert betrachten.

Kritische Lücke "Bleeding Llama" bedroht rund 300.000 Ollama-Instanzen

Ähnliche Artikel

Neueste Artikel