Hack Alerta

Ollama: falha em parser de modelos permite execução remota; corrige em 0.7.0

Por Redação Hack Alerta Publicado em 20/11/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

Auditoria da SonarSource encontrou Out‑Of‑Bounds Write no parser de modelos mllama do Ollama, permitindo RCE via arquivos GGUF maliciosos; a correção foi lançada na versão 0.7.0, que reescreveu o componente vulnerável em Go.

Uma auditoria identificou uma vulnerabilidade crítica em Ollama que permite execução remota de código através do carregamento de modelos GGUF especialmente crafted; a correção foi publicada com a versão 0.7.0.

Resumo e contexto

Pesquisadores da SonarSource encontraram uma condição de Out‑Of‑Bounds Write no código de parsing de modelos mllama usado por Ollama, projeto popular no GitHub (mais de 155k stars). A falha afeta versões anteriores a 0.7.0 e surge quando o software processa arquivos GGUF com metadados manipulados sem validação adequada de índices.

Mecanismo de exploração

O parser não valida se os índices presentes nos metadados do modelo estão dentro dos limites esperados. Isso possibilita que um modelo malicioso contenha entradas de metadados fora de faixa, provocando escrita fora dos buffers alocados (OOB write). Em instalações onde a build não configura Position Independent Executable (PIE/PIE‑equivalente), a condição pode ser explorada para alcançar execução de código remoto. A SonarSource afirma que builds lançadas com proteções reduzem a viabilidade, mas que exploração ainda pode ser possível com esforço adicional.

Produtos afetados e correção

O problema foi corrigido pela equipe de desenvolvimento do Ollama na versão 0.7.0, que reescreveu o componente vulnerável (mllama) em Go, eliminando a implementação insegura em C++. Fontes indicam que todas as versões anteriores a 0.7.0 são vulneráveis.

Impacto prático

Ollama é usado para executar modelos de linguagem localmente (gpt‑oss, DeepSeek‑R1, Llama4, Gemma3, entre outros). Em ambientes onde Ollama oferece uma API ou serviço interno (por exemplo, servidores que permitem upload de modelos), a fragilidade permite que um atacante remoto que consiga carregar um modelo GGUF malicioso execute código no host que processa o modelo. Isso é crítico em cenários de fornecimento de modelos por usuários ou repositórios compartilhados.

Mitigações e orientações

  • Atualizar imediatamente para Ollama 0.7.0 em todas as instalações de produção.
  • Restrigir o carregamento de modelos a fontes confiáveis e implementar validação de integridade (assinaturas) para modelos recebidos de terceiros.
  • Isolar instâncias que carregam modelos em contêineres ou VMs com políticas de segurança reforçadas e limites de privilégio.
  • Auditar quem tem permissão de upload de modelos e aplicar controles de acesso baseados em funções.

Limitações das informações

As matérias descrevem a vulnerabilidade e a correção, mas não incluem um exploit público replicável nem métricas de exploração em campo. A SonarSource e o time do Ollama são citados como fontes das descobertas e da correção, respectivamente.

Fonte: SonarSource / Ollama

Baseado em publicação original de SonarSource
Tags: #ollama #rce #gguf #mllama #sonarsource #model-parsing #seguranca #vulnerabilidade #atualizacao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar