Bleeding Llama: 300.000 Ollama-servers een Open Boek

Stel je voor: je draait Ollama lokaal. Mooi, soeverein, geen cloud-gedoe. Wat je niet weet: een aanvaller op hetzelfde netwerk kan met drie HTTP-requests je volledige procesgeheugen uitlezen. API-keys. Systeemprompts. De output van elke tool.

Dit is CVE-2026-7482 — bijgenaamd Bleeding Llama — en hij is echt.

De kwetsbaarheid

Ollama gebruikt het GGUF-formaat om modellen te laden. In versies vóór 0.17.1 zit een heap out-of-bounds read in de GGUF-loader. Drie API-calls en je procesgeheugen is gelekt:

| Stap | Actie | Endpoint | |------|-------|----------| | ① Upload | Gemanipuleerd GGUF-bestand met opgeblazen tensor shape | POST /api/create | | ② Trigger | Model wordt geladen, server leest voorbij de heap buffer | /api/create (auto) | | ③ Exfiltratie | Model met uitgelekte data naar attacker registry | POST /api/push |

Wat lekt er? API keys, systeemprompts, alle gelijktijdige gebruikersconversaties, en — als Ollama aan tools als Claude Code gekoppeld is — alle tool-outputs.

| Metriek | Waarde | |---------|--------| | CVE | CVE-2026-7482 | | CVSS | 9.1 (Critical) | | Geschat blootgestelde servers | 300.000+ | | Authenticatie vereist | Nee | | Ontdekker | Cyera |

Ben jij kwetsbaar?

curl http://localhost:11434/api/version

Als het versienummer lager dan 0.17.1 is: update direct.

De Ollama Hardening Checklist

1. Firewall — Ollama alleen op LAN toestaan, niet op internet
2. Authenticatie-laag — Ollama heeft standaard geen auth; plaats een reverse proxy
3. Monitor — scan periodiek op blootstelling
4. Dedicated user — draai Ollama niet als root

BIO2-implicaties

Een Ollama-installatie zonder firewall en authenticatie voldoet aan geen enkele BIO2-classificatie. Dit raakt BBN3 (databescherming) en BBN4 (netwerktoegang).

DjimIT biedt een Ollama Security Scan — versie-audit, netwerkcheck, BIO2-classificatie, en actieplan. Binnen één werkdag uitgevoerd.

Bron: The Hacker News