Cybersicherheitsforscher haben eine kritische Sicherheitslücke in **Ollama** aufgedeckt, die es einem entfernten, nicht authentifizierten Angreifer ermöglichen könnte, den gesamten Prozessspeicher zu lecken, falls sie ausgenutzt wird. Diese Out-of-Bounds-Read-Schwachstelle, die potenziell über 300.000 Server weltweit betreffen könnte, wird als **CVE-2026-7482** (CVSS-Score: 9.1) verfolgt und von **Cyera** als **Bleeding Llama** bezeichnet. **Ollama** ist ein beliebtes Open-Source-Framework, das die lokale Ausführung von Large Language Models (LLMs) ermöglicht. Das Projekt verzeichnet über 171.000 Sterne und wurde über 16.100 Mal auf GitHub geforkt. "Ollama vor Version 0.17.1 enthält eine Heap-Out-of-Bounds-Read-Schwachstelle im GGUF-Modell-Loader", heißt es in der CVE-Beschreibung. "Der Endpunkt /api/create akzeptiert eine vom Angreifer bereitgestellte GGUF-Datei, bei der der deklarierte Tensor-Offset und die Größe die tatsächliche Länge der Datei überschreiten; während der Quantisierung in fs/ggml/gguf.go und server/quantization.go (WriteTo()) liest der Server über den zugewiesenen Heap-Puffer hinaus." **GGUF** (GPT-Generated Unified Format) ist ein Dateiformat zum Speichern von Large Language Models für die lokale Lade- und Ausführung. Die Schwachstelle ergibt sich aus der Verwendung des `unsafe`-Pakets durch Ollama beim Erstellen eines Modells aus einer GGUF-Datei, insbesondere in der `WriteTo()`-Funktion, wodurch Speicher-Sicherheitsgarantien umgangen werden. ### Angriffszenario Ein bösartiger Akteur kann eine präparierte GGUF-Datei an einen exponierten Ollama-Server senden und die Tensorform auf eine extrem große Zahl setzen, um den Out-of-Bounds-Heap-Read während der Modellerstellung über den `/api/create`-Endpunkt auszulösen. Eine erfolgreiche Ausnutzung kann sensible Daten aus dem Ollama-Prozessspeicher lecken. Diese geleckten Daten können Umgebungsvariablen, API-Schlüssel, System-Prompts und Konversationsdaten gleichzeitiger Benutzer umfassen, die dann durch Hochladen des resultierenden Modell-Artefakts über den `/api/push`-Endpunkt an eine vom Angreifer kontrollierte Registry exfiltriert werden können. Die Ausnutzungskette umfasst die folgenden Schritte: * Hochladen einer präparierten GGUF-Datei mit einer aufgeblähten Tensorform an einen netzwerkzugänglichen Ollama-Server mittels einer HTTP POST-Anfrage. * Verwenden des `/api/create`-Endpunkts, um die Modellerstellung zu aktivieren und die Out-of-Bounds-Read-Schwachstelle auszulösen. * Verwenden des `/api/push`-Endpunkts, um Daten aus dem Heap-Speicher auf einen externen Server zu exfiltrieren. "Ein Angreifer kann praktisch alles über die Organisation aus Ihrer KI-Inferenz erfahren – API-Schlüssel, proprietären Code, Kundenverträge und vieles mehr", sagte **Cyera**-Sicherheitsforscher Dor Attias.  "Darüber hinaus verbinden Ingenieure Ollama oft mit Tools wie Claude Code. In diesen Fällen ist die Auswirkung noch größer – alle Tool-Ausgaben fließen zum Ollama-Server, werden im Heap gespeichert und landen potenziell in den Händen eines Angreifers." Benutzern wird empfohlen, die neuesten Korrekturen anzuwenden, den Netzwerkzugriff zu beschränken, laufende Instanzen auf Internetexposition zu überprüfen und sie hinter einer Firewall zu isolieren und zu sichern. Die Bereitstellung eines Authentifizierungs-Proxys oder API-Gateways vor allen Ollama-Instanzen wird ebenfalls empfohlen, da die REST-API keine integrierte Authentifizierung aufweist. ### Zwei ungepatchte Schwachstellen in Ollama führen zu persistenter Codeausführung Forscher von **Striga** haben zwei Schwachstellen im Windows-Update-Mechanismus von Ollama detailliert beschrieben, die zu einer persistenten Codeausführung verkettet werden können. Diese Mängel bleiben nach der Offenlegung am 27. Januar 2026, nach einer 90-tägigen Offenlegungsfrist, ungepatcht. Laut Bartłomiej "Bartek" Dmitruk, Mitbegründer von **Striga**, startet der Windows-Desktop-Client beim Anmelden automatisch aus dem Windows-Autostart-Ordner, lauscht auf 127.0.0[.]1:11434 und fragt im Hintergrund periodisch nach Updates über den `/api/update`-Endpunkt, um ausstehende Updates beim nächsten Anwendungsstart auszuführen. Die identifizierten Schwachstellen beziehen sich auf einen Path Traversal und eine fehlende Signaturprüfung, die in Kombination mit der Anmelderoutine einen Angreifer, der Update-Antworten beeinflussen kann, dazu befähigen, bei jeder Anmeldung beliebigen Code auszuführen. Die Schwachstellen sind unten aufgeführt: * **CVE-2026-42248** (CVSS-Score: 7.7) – Eine fehlende Signaturüberprüfung, die die Update-Binärdatei vor der Installation nicht verifiziert, im Gegensatz zur macOS-Version. * **CVE-2026-42249** (CVSS-Score: 7.7) – Eine Path Traversal-Schwachstelle, die sich aus der Tatsache ergibt, dass der Windows-Updater den lokalen Pfad für das Staging-Verzeichnis des Installers direkt aus HTTP-Antwortheadern erstellt, ohne ihn zu bereinigen. Um die Schwachstellen auszunutzen, muss der Angreifer einen Update-Server kontrollieren, der für den Ollama-Client des Opfers erreichbar ist. Dies könnte zu einem Szenario führen, in dem eine beliebige ausführbare Datei als Teil des Update-Prozesses bereitgestellt wird und ohne Probleme bei der Signaturprüfung in den Windows-Autostart-Ordner geschrieben wird. Ein Ansatz beinhaltet das Überschreiben von OLLAMA_UPDATE_URL, um den Client auf einen lokalen Server über einfaches HTTP zu verweisen. Die Angriffskette geht auch davon aus, dass AutoUpdateEnabled aktiviert ist, was die Standardeinstellung ist. Die fehlende Integritätsprüfung kann für sich allein zu Codeausführung führen, ohne die Path Traversal-Schwachstelle auszunutzen. In diesem Fall wird der Installer im erwarteten Staging-Verzeichnis abgelegt. Beim nächsten Start aus dem Autostart-Ordner wird der Update-Prozess aufgerufen, ohne die Signatur erneut zu überprüfen, wodurch der Code des Angreifers ausgeführt wird. Während diese Remote Code Execution nicht persistent ist, da das nächste legitime Update die bereitgestellte Datei überschreibt, ermöglicht die Hinzufügung des Path Traversal einem bösartigen Akteur, die ausführbare Datei außerhalb des üblichen Pfads umzuleiten und so eine persistente Codeausführung zu erreichen. Laut **CERT Polska**, das die koordinierte Offenlegung übernommen hat, sind Ollama für Windows-Versionen 0.12.10 bis 0.17.5 von den beiden Schwachstellen betroffen. In der Zwischenzeit wird Benutzern empfohlen, automatische Updates zu deaktivieren und alle vorhandenen Ollama-Verknüpfungen aus dem Autostart-Ordner ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup") zu entfernen, um den stillen Anmelde-Ausführungspfad zu deaktivieren. "Jede Ollama für Windows-Installation, die Version 0.12.10 bis 0.22.0 ausführt, ist anfällig", sagte Dmitruk. "Der Path Traversal schreibt vom Angreifer gewählte ausführbare Dateien in den Windows-Autostart-Ordner. Die fehlende Signaturprüfung hält sie dort: Die Bereinigung nach dem Schreiben, die unsignierte Dateien bei einem funktionierenden Updater entfernen würde, ist unter Windows eine No-Op. Beim nächsten Anmelden führt Windows alles aus, was zurückgelassen wurde." "Die Kette erzeugt eine persistente, stille Codeausführung auf der Berechtigungsebene des Benutzers, der Ollama ausführt. Realistische Payloads umfassen Reverse-Shells, Info-Diebe, die Browser-Geheimnisse und SSH-Schlüssel exfiltrieren, oder Dropper, die zu zusätzlichen Persistenzmechanismen übergehen. Alles, was als aktueller Benutzer ausgeführt wird. Das Entfernen der abgelegten Binärdatei aus dem Autostart-Ordner beendet die Persistenz, aber die zugrunde liegenden Schwachstellen bleiben bestehen."