JVNVU#90880682
Ollamaにおける境界外の読み取りおよび書き込みの脆弱性

Ollamaには、境界外の読み取りおよび書き込みの脆弱性が存在します。

• Ollama

Ollamaは、ローカル環境で大規模言語モデル（LLM）を実行するためのオープンソースのツールです。Ollamaには、モデル量子化エンジンにおけるGGUFファイルの検証不備に起因して、ヒープメモリの境界外読み取りおよび境界外書き込みの脆弱性が存在します。その結果、モデルのレイヤに書き込まれたヒープメモリのデータが、OllamaのレジストリAPIを通じて漏えいする可能性があります。

モデルのアップロードインターフェースにアクセス可能な遠隔の第三者によって、細工されたGGUFファイルをアップロードされ、サーバーのヒープメモリの読み取りや書き込みをされる可能性があります。

ワークアラウンドを実施する
CERT/CCはワークアラウンドの適用を推奨しています。
詳細は、CERT/CCが提供する情報を確認してください。