Kritische Lücke in Ollama: Angreifer können Prozessspeicher auslesen – zweite Schwachstelle unter Windows

Zusammenfassung

Sicherheitsforscher haben eine kritische Schwachstelle im Open-Source-Framework Ollama offengelegt, über die ein nicht authentifizierter Angreifer aus der Ferne den gesamten Prozessspeicher auslesen kann. Die Lücke wird als CVE-2026-7482 geführt und mit einem CVSS-Wert von 9.1 bewertet; das Sicherheitsunternehmen Cyera vergab dafür den Namen Bleeding Llama. Nach Einschätzung der Forscher dürften weltweit über 300.000 Server betroffen sein. Ollama erlaubt es, große Sprachmodelle (LLMs) lokal statt in der Cloud auszuführen, und zählt zu den populären Projekten dieser Art: Auf GitHub hat es mehr als 171.000 Sterne und wurde über 16.100 Mal geforkt. Der Fehler steckt im GGUF-Modell-Loader und betrifft Versionen vor 0.17.1. Erfolgreich ausgenutzt, lassen sich darüber sensible Daten aus dem Speicher des Ollama-Prozesses abgreifen – darunter Umgebungsvariablen, API-Schlüssel, System-Prompts und Gesprächsdaten gleichzeitig aktiver Nutzer. Parallel dazu beschreiben Forscher von Striga zwei weitere, noch ungepatchte Schwachstellen im Windows-Update-Mechanismus von Ollama, die sich zu dauerhafter Codeausführung verketten lassen.

Laut der Beschreibung auf CVE.org enthält Ollama vor Version 0.17.1 einen Heap-Out-of-Bounds-Read im GGUF-Modell-Loader. Der Endpunkt /api/create akzeptiert eine vom Angreifer bereitgestellte GGUF-Datei, in der der angegebene Tensor-Offset und die Größe die tatsächliche Dateilänge überschreiten. Während der Quantisierung in den Dateien fs/ggml/gguf.go und server/quantization.go (Funktion WriteTo()) liest der Server über den zugewiesenen Heap-Puffer hinaus.

GGUF (GPT-Generated Unified Format) ist ein Dateiformat zum Speichern großer Sprachmodelle, damit diese lokal geladen und ausgeführt werden können. Ursache des Problems ist die Verwendung des unsafe-Pakets beim Erstellen eines Modells aus einer GGUF-Datei innerhalb der Funktion WriteTo(); dadurch lassen sich Operationen ausführen, die die Speichersicherheitsgarantien der Programmiersprache umgehen.

In einem möglichen Angriffsszenario sendet ein Angreifer eine präparierte GGUF-Datei an einen erreichbaren Ollama-Server und setzt die Form des Tensors auf einen sehr großen Wert, um beim Erstellen des Modells über /api/create den Out-of-Bounds-Read auszulösen. Die so erbeuteten Daten – etwa Umgebungsvariablen, API-Schlüssel, System-Prompts und Gesprächsdaten gleichzeitig aktiver Nutzer – können exfiltriert werden, indem das entstandene Modell-Artefakt über den Endpunkt /api/push in eine vom Angreifer kontrollierte Registry hochgeladen wird.

„Ein Angreifer kann aus Ihrer KI-Inferenz praktisch alles über die Organisation erfahren – API-Schlüssel, geschützten Code, Kundenverträge und vieles mehr“, sagte Cyera-Sicherheitsforscher Dor Attias. Verbinden Entwickler Ollama mit Werkzeugen wie Claude Code, sei die Auswirkung noch größer, da alle Werkzeugausgaben an den Ollama-Server flössen, im Heap gespeichert würden und potenziell in die Hände des Angreifers gelangten.

Nutzern wird geraten, die aktuellen Fixes einzuspielen, den Netzwerkzugriff zu beschränken, laufende Instanzen auf Erreichbarkeit aus dem Internet zu prüfen und sie hinter einer Firewall zu isolieren. Da die REST-API standardmäßig keine Authentifizierung bietet, empfiehlt sich zudem ein vorgeschalteter Authentifizierungs-Proxy oder ein API-Gateway.

Unabhängig davon beschrieben Forscher von Striga zwei Schwachstellen im Windows-Update-Mechanismus von Ollama, die sich zu dauerhafter Codeausführung verketten lassen. Sie bleiben nach der Offenlegung am 27. Januar 2026 ungepatcht und wurden nach Ablauf einer 90-tägigen Offenlegungsfrist veröffentlicht. Laut Bartłomiej „Bartek“ Dmitruk, Mitgründer von Striga, startet der Windows-Desktop-Client beim Anmelden automatisch aus dem Autostart-Ordner, lauscht auf 127.0.0.1:11434 und fragt im Hintergrund regelmäßig über /api/update nach Updates.

Die Lücken betreffen einen Path-Traversal-Fehler und eine fehlende Signaturprüfung. Kombiniert mit der Anmelderoutine erlauben sie einem Angreifer, der die Update-Antworten beeinflussen kann, bei jeder Anmeldung beliebigen Code auszuführen. Dafür muss der Angreifer einen vom Opfer erreichbaren Update-Server kontrollieren – etwa indem die Variable OLLAMA_UPDATE_URL auf einen lokalen Server per HTTP umgebogen wird; vorausgesetzt ist die standardmäßig aktive Einstellung AutoUpdateEnabled.

Bereits die fehlende Integritätsprüfung allein ermöglicht Codeausführung: Der Installer landet im erwarteten Staging-Verzeichnis und wird beim nächsten Start aus dem Autostart-Ordner ohne erneute Signaturprüfung aufgerufen. Diese Ausführung ist jedoch nicht dauerhaft, da das nächste reguläre Update die abgelegte Datei überschreibt. Erst der Path-Traversal-Fehler erlaubt es, die ausführbare Datei außerhalb des üblichen Pfads zu schreiben und so dauerhafte Codeausführung zu erreichen.

Nach Angaben von CERT Polska, das die koordinierte Offenlegung übernommen hat, sind die Windows-Versionen 0.12.10 bis 0.17.5 betroffen; Dmitruk nennt zudem die Spanne 0.12.10 bis 0.22.0 als verwundbar. Übergangsweise sollten Nutzer automatische Updates abschalten und vorhandene Ollama-Verknüpfungen aus dem Autostart-Ordner („%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup“) entfernen. Als realistische Schadprogramme nennt Dmitruk Reverse Shells, Info-Stealer, die Browser-Geheimnisse und SSH-Schlüssel abgreifen, sowie Dropper – ausgeführt mit den Rechten des Nutzers, der Ollama betreibt.

Kritische Lücke in Ollama: Angreifer können Prozessspeicher auslesen – zweite Schwachstelle unter Windows

Ähnliche Artikel

Neueste Artikel