Vulnerabilità critica in Ollama: server AI a rischio attacchi

Una vulnerabilità critica scoperta in Ollama sta attirando l’attenzione della comunità della sicurezza informatica: il bug permette di provocare crash del servizio e, in scenari più complessi, di eseguire codice arbitrario attraverso richieste API appositamente costruite.

Il problema interessa il framework open source usato per eseguire modelli linguistici locali su Linux, Windows e macOS e riguarda specificamente il parser delle richieste HTTP multipart. La diffusione capillare di Ollama in ambienti aziendali, workstation di sviluppo e sistemi edge AI rende la vulnerabilità particolarmente delicata da gestire.

Come funziona il bug e qual è il rischio reale

Secondo l’analisi dei ricercatori, il problema rientra nella categoria CWE-125, ovvero accessi out-of-bounds read. Durante l’elaborazione di boundary e segmenti dati nelle richieste multipart, alcune verifiche sui limiti dei buffer risultano incomplete. Una richiesta HTTP costruita ad hoc può quindi forzare il parser a leggere aree di memoria non valide, generando comportamenti non prevedibili.

Nella maggior parte dei casi il risultato è un crash del processo Ollama. In situazioni più complesse però un attaccante potrebbe ottenere leak di memoria, bypass di protezioni applicative o condizioni sfruttabili per esecuzione di codice arbitrario. L’impatto reale dipende da diversi fattori: compilazione binaria, protezioni ASLR, mitigazioni dello stack e modalità di deployment del servizio.

Il rischio sale sensibilmente quando Ollama viene esposto su reti aziendali o pubbliche senza autenticazione forte, scenario sempre più comune con la crescita dei backend AI per chatbot interni, sistemi RAG e agenti accessibili via API REST. Un parser vulnerabile rappresenta un bersaglio particolarmente efficace perché viene colpito prima di qualsiasi verifica logica dell’applicazione.

Patch disponibile e misure di mitigazione consigliate

Il team di Ollama ha rilasciato una correzione rapidamente dopo la segnalazione responsabile.

La patch introduce controlli più rigidi sui boundary multipart, validazione delle lunghezze e verifiche aggiuntive durante il parsing dei segmenti HTTP. Gli amministratori che utilizzano Ollama in produzione devono aggiornare immediatamente il software e verificare l’eventuale esposizione pubblica delle API, inclusi sistemi apparentemente isolati ma raggiungibili tramite proxy, tunnel o configurazioni cloud errate.

Oltre all’aggiornamento, gli esperti consigliano di non esporre il servizio direttamente su Internet e di introdurre reverse proxy con filtri HTTP avanzati tramite Nginx, Traefik o Caddy. In ambienti enterprise conviene isolare il runtime Ollama tramite container, namespace Linux o macchine virtuali dedicate, usando account non privilegiati per ridurre l’impatto di eventuali exploit futuri.