Ollama のローカル LLM 実行基盤に存在する CVE-2026-7482『Bleeding Llama』(CVSS 9.1) は、GGUF モデルロード時のヒープ領域 OOB read で、未認証のリモート攻撃者がサーバプロセスのメモリを丸ごと吸い出せる重大欠陥です。研究元の Cyera のレポートが 5 月初旬に公開され、5 月 10 日付で The Hacker News などが本格報道、Shodan ベースの推計でインターネット公開中の約 30 万台が影響を受けるとされています。
主なポイント
- 欠陥は Ollama のモデル量子化パイプライン。
/api/createに渡される GGUF ファイルがテンソルサイズを実体より大きく宣言するとヒープバッファ境界外まで読み出され、攻撃者制御のレジストリへ/api/push経由で吸い出せる。 - 漏えい対象はシステムプロンプト・ユーザ会話・環境変数・API キーなど。ローカルで複数ユーザを相乗りさせている GPU 共有環境では他人のセッションも露出する。
- 公式パッチは Ollama 0.17.1 (Cyera への報告は 2 月 25 日、修正反映済み)。アップデート未適用のホストは API ポートを非公開化するか、信頼境界外から到達できない構成へ即時退避が推奨。
- 該当 API は認証必須ではなく、デフォルトの
0.0.0.0:11434でリッスンするケースも多いため、ホームラボや社内 PoC の野良ホストが特に高リスク。 - Ollama を運用する組織は、
runzeroなどの資産検出を併用し、外部公開サーバの版数と到達面を 0.17.1 以上に揃えることが直近の最優先タスク。
出典: Ollama Out-of-Bounds Read Vulnerability Allows Remote Process Memory Leak (The Hacker News)