VU#518910: Ollama GGUF 양자화 원격 메모리 누수
Ollama의 모델 양자화 엔진에 치명적인 힙 메모리 취약점이 존재합니다. 공격자는 악성 GGUF 파일을 업로드하여 이를 악용할 수 있습니다. 이 조작된 파일은 양자화 과정에서 범위를 벗어난 읽기를 유발합니다. 이 취약점은 GGUF 파일의 텐서 메타데이터에 대한 경계 검사가 부족하기 때문에 발생합니다. 그 후 Go의 unsafe.Slice가 유효한 데이터 버퍼를 초과하는 메모리 슬라이스를 생성하는 데 사용됩니다. 이를 통해 공격자는 의도하지 않은 힙 메모리에 접근할 수 있습니다. 유출된 데이터는 실수로 새로운 모델 레이어에 기록됩니다. Ollama의 레지스트리 API를 사용하여 이 민감한 힙 데이터를 유출할 수 있습니다. 이는 무단 접근, 데이터 노출 및 잠재적인 시스템 손상으로 이어질 수 있습니다. 아직 패치는 제공되지 않았지만, 모델 업로드 접근을 제한하는 것이 권장되는 임시 해결책입니다.