🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética revelaram uma vulnerabilidade crítica de segurança em Ollama que, se explorada com sucesso, poderia permitir que um invasor remoto e não autenticado vazasse toda a memória do seu processo.
A falha de leitura fora dos limites, que provavelmente afeta mais de 300.000 servidores em todo o mundo, é rastreada como CVE-2026-7482 (pontuação CVSS: 9,1). Foi batizado de Bleeding Llama por Cyera.
Ollama é uma estrutura popular de código aberto que permite que grandes modelos de linguagem (LLMs) sejam executados localmente em vez de na nuvem. No GitHub, o projeto tem mais de 171 mil estrelas e foi bifurcado mais de 16.100 vezes.
“Ollama antes de 0.17.1 contém uma vulnerabilidade de leitura fora dos limites no carregador de modelo GGUF”, de acordo com uma descrição da falha em CVE.org. "O endpoint /api/create aceita um arquivo GGUF fornecido pelo invasor no qual o deslocamento e o tamanho do tensor declarado excedem o comprimento real do arquivo; durante a quantização em fs/ggml/gguf.go e server/quantization.go (WriteTo()), o servidor lê além do buffer de heap alocado. "
GGUF, abreviação de GPT-Generated Unified Format, é um formato de arquivo usado para armazenar grandes modelos de linguagem para que possam ser facilmente carregados e executados localmente.
O problema, em sua essência, decorre do uso do pacote inseguro por Ollama ao criar um modelo a partir de um arquivo GGUF, especificamente em uma função chamada "WriteTo ()", tornando possível executar operações que contornam as garantias de segurança de memória da linguagem de programação.
Em um cenário de ataque hipotético, um malfeitor pode enviar um arquivo GGUF especialmente criado para um servidor Ollama exposto com a forma do tensor definida como um número muito grande para acionar a leitura de heap fora dos limites durante a criação do modelo usando o endpoint /api/create. A exploração bem-sucedida da vulnerabilidade pode vazar dados confidenciais da memória do processo Ollama.
Isso pode incluir variáveis de ambiente, chaves de API, prompts do sistema e dados de conversação de usuários simultâneos. Esses dados podem ser exfiltrados fazendo upload do artefato do modelo resultante por meio do endpoint /api/push para um registro controlado pelo invasor.
A cadeia de exploração se desenvolve em três etapas -
Carregue um arquivo GGUF criado com um formato de tensor inflado para um servidor Ollama acessível pela rede usando uma solicitação HTTP POST.
Use o endpoint /api/create para ativar a criação do modelo, disparando a vulnerabilidade de leitura fora dos limites.
Use o endpoint /api/push para exfiltrar dados da memória heap para um servidor externo.
“Um invasor pode aprender basicamente qualquer coisa sobre a organização a partir de sua inferência de IA – chaves de API, código proprietário, contratos de clientes e muito mais”, disse Dor Attias, pesquisador de segurança da Cyera.
"Além disso, os engenheiros geralmente conectam o Ollama a ferramentas como o Claude Code. Nesses casos, o impacto é ainda maior: todas as saídas da ferramenta fluem para o servidor do Ollama, são salvas na pilha e potencialmente acabam nas mãos de um invasor."
Os usuários são aconselhados a aplicar as correções mais recentes, limitar o acesso à rede, auditar instâncias em execução quanto à exposição à Internet e isolá-las e protegê-las atrás de um firewall. Também é recomendado implantar um proxy de autenticação ou gateway de API na frente de todas as instâncias do Ollama, pois a API REST não fornece autenticação pronta para uso.
Duas falhas não corrigidas no Ollama levam à execução persistente de código
O desenvolvimento ocorre no momento em que pesquisadores da Striga detalham duas vulnerabilidades no mecanismo de atualização do Windows de Ollama que podem ser encadeadas à execução persistente de código. As deficiências permanecem sem correção após a divulgação em 27 de janeiro de 2026 e foram publicadas após o decurso de um período de divulgação de 90 dias.
De acordo com Bartłomiej "Bartek" Dmitruk, cofundador da Striga, o cliente de desktop do Windows inicia automaticamente no login na pasta de inicialização do Windows, escuta em 127.0.0[.]1:11434 e pesquisa periodicamente atualizações em segundo plano por meio do endpoint /api/update para executar quaisquer atualizações pendentes na próxima inicialização do aplicativo.
As vulnerabilidades identificadas estão relacionadas a uma travessia de caminho e a uma verificação de assinatura ausente que, quando combinada com a rotina de login, pode permitir que um invasor tenha a capacidade de influenciar respostas de atualização para executar código arbitrário em cada login. As falhas estão listadas abaixo -
CVE-2026-42248 (pontuação CVSS: 7,7) – Uma vulnerabilidade de verificação de assinatura ausente que não verifica o binário de atualização antes da instalação, ao contrário de sua versão macOS.
CVE-2026-42249 (pontuação CVSS: 7,7) – Uma vulnerabilidade de passagem de caminho que decorre do fato de que o atualizador do Windows cria o caminho local para o diretório de teste do instalador diretamente dos cabeçalhos de resposta HTTP sem limpá-lo.
Para explorar as falhas, o invasor precisa estar no controle de um servidor de atualização que possa ser acessado pelo cliente Ollama da vítima. Em tal situação, isso poderia levar a um cenário em que um executável arbitrário fosse fornecido como parte da atualização.
A falha de leitura fora dos limites, que provavelmente afeta mais de 300.000 servidores em todo o mundo, é rastreada como CVE-2026-7482 (pontuação CVSS: 9,1). Foi batizado de Bleeding Llama por Cyera.
Ollama é uma estrutura popular de código aberto que permite que grandes modelos de linguagem (LLMs) sejam executados localmente em vez de na nuvem. No GitHub, o projeto tem mais de 171 mil estrelas e foi bifurcado mais de 16.100 vezes.
“Ollama antes de 0.17.1 contém uma vulnerabilidade de leitura fora dos limites no carregador de modelo GGUF”, de acordo com uma descrição da falha em CVE.org. "O endpoint /api/create aceita um arquivo GGUF fornecido pelo invasor no qual o deslocamento e o tamanho do tensor declarado excedem o comprimento real do arquivo; durante a quantização em fs/ggml/gguf.go e server/quantization.go (WriteTo()), o servidor lê além do buffer de heap alocado. "
GGUF, abreviação de GPT-Generated Unified Format, é um formato de arquivo usado para armazenar grandes modelos de linguagem para que possam ser facilmente carregados e executados localmente.
O problema, em sua essência, decorre do uso do pacote inseguro por Ollama ao criar um modelo a partir de um arquivo GGUF, especificamente em uma função chamada "WriteTo ()", tornando possível executar operações que contornam as garantias de segurança de memória da linguagem de programação.
Em um cenário de ataque hipotético, um malfeitor pode enviar um arquivo GGUF especialmente criado para um servidor Ollama exposto com a forma do tensor definida como um número muito grande para acionar a leitura de heap fora dos limites durante a criação do modelo usando o endpoint /api/create. A exploração bem-sucedida da vulnerabilidade pode vazar dados confidenciais da memória do processo Ollama.
Isso pode incluir variáveis de ambiente, chaves de API, prompts do sistema e dados de conversação de usuários simultâneos. Esses dados podem ser exfiltrados fazendo upload do artefato do modelo resultante por meio do endpoint /api/push para um registro controlado pelo invasor.
A cadeia de exploração se desenvolve em três etapas -
Carregue um arquivo GGUF criado com um formato de tensor inflado para um servidor Ollama acessível pela rede usando uma solicitação HTTP POST.
Use o endpoint /api/create para ativar a criação do modelo, disparando a vulnerabilidade de leitura fora dos limites.
Use o endpoint /api/push para exfiltrar dados da memória heap para um servidor externo.
“Um invasor pode aprender basicamente qualquer coisa sobre a organização a partir de sua inferência de IA – chaves de API, código proprietário, contratos de clientes e muito mais”, disse Dor Attias, pesquisador de segurança da Cyera.
"Além disso, os engenheiros geralmente conectam o Ollama a ferramentas como o Claude Code. Nesses casos, o impacto é ainda maior: todas as saídas da ferramenta fluem para o servidor do Ollama, são salvas na pilha e potencialmente acabam nas mãos de um invasor."
Os usuários são aconselhados a aplicar as correções mais recentes, limitar o acesso à rede, auditar instâncias em execução quanto à exposição à Internet e isolá-las e protegê-las atrás de um firewall. Também é recomendado implantar um proxy de autenticação ou gateway de API na frente de todas as instâncias do Ollama, pois a API REST não fornece autenticação pronta para uso.
Duas falhas não corrigidas no Ollama levam à execução persistente de código
O desenvolvimento ocorre no momento em que pesquisadores da Striga detalham duas vulnerabilidades no mecanismo de atualização do Windows de Ollama que podem ser encadeadas à execução persistente de código. As deficiências permanecem sem correção após a divulgação em 27 de janeiro de 2026 e foram publicadas após o decurso de um período de divulgação de 90 dias.
De acordo com Bartłomiej "Bartek" Dmitruk, cofundador da Striga, o cliente de desktop do Windows inicia automaticamente no login na pasta de inicialização do Windows, escuta em 127.0.0[.]1:11434 e pesquisa periodicamente atualizações em segundo plano por meio do endpoint /api/update para executar quaisquer atualizações pendentes na próxima inicialização do aplicativo.
As vulnerabilidades identificadas estão relacionadas a uma travessia de caminho e a uma verificação de assinatura ausente que, quando combinada com a rotina de login, pode permitir que um invasor tenha a capacidade de influenciar respostas de atualização para executar código arbitrário em cada login. As falhas estão listadas abaixo -
CVE-2026-42248 (pontuação CVSS: 7,7) – Uma vulnerabilidade de verificação de assinatura ausente que não verifica o binário de atualização antes da instalação, ao contrário de sua versão macOS.
CVE-2026-42249 (pontuação CVSS: 7,7) – Uma vulnerabilidade de passagem de caminho que decorre do fato de que o atualizador do Windows cria o caminho local para o diretório de teste do instalador diretamente dos cabeçalhos de resposta HTTP sem limpá-lo.
Para explorar as falhas, o invasor precisa estar no controle de um servidor de atualização que possa ser acessado pelo cliente Ollama da vítima. Em tal situação, isso poderia levar a um cenário em que um executável arbitrário fosse fornecido como parte da atualização.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidade #de #leitura #fora #dos #limites #de #ollama #permite #vazamento #de #memória #de #processo #remoto
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário