D-OPEN

Ollama “Bleeding Llama” CVE-2026-7482 (CVSS 9.1) : 300 000 serveurs exposes a une fuite memoire non authentifiee — ce que chaque developpeur open source doit savoir

Ollama Bleeding Llama CVE-2026-7482 vulnerabilite serveurs securite
Jonas Eriksson

Jonas Eriksson

Ingenieur securite et contributeur kernel Linux · 17 mai 2026 · 14 min de lecture

Suivre sur Google NewsResumer :ChatGPTClaudePerplexity

TL;DR

  • CVE-2026-7482 (CVSS 9.1) est une vulnerabilite critique de type out-of-bounds read dans le loader GGUF d Ollama. Nommee “Bleeding Llama” par les chercheurs de Cyera, en reference a Heartbleed.
  • 3 appels API non authentifies suffisent pour lire l integralite de la memoire heap : cles API, variables d environnement, prompts systeme, conversations des utilisateurs concurrents. Aucune trace dans les logs.
  • 300 000+ serveurs exposes selon Shodan. Patch dans v0.17.1 (25 fev. 2026) mais release notes ne mentionnent pas le correctif securite — la majorite des serveurs restent vulnerables.

Le 12 mai 2026, les chercheurs en securite de Cyera ont publie les details complets d une vulnerabilite critique dans Ollama, le framework open source le plus populaire pour executer des modeles de langage en local. Baptisee “Bleeding Llama” en reference directe a la celebre faille Heartbleed qui avait ebranle Internet en 2014, cette vulnerabilite — referencee CVE-2026-7482 avec un score CVSS de 9.1 sur 10 — permet a un attaquant non authentifie de lire l integralite de la memoire du processus Ollama. Variables d environnement, cles API, prompts systeme confidentiels, et meme les conversations en cours d autres utilisateurs : tout est accessible avec seulement trois appels API qui ne laissent aucune trace dans les journaux du serveur.

Pour les developpeurs open source francais, cette revelation est un signal d alarme majeur. Ollama est devenu l outil de reference pour l inference LLM en local — que ce soit pour des prototypes RAG, des assistants de code internes, ou des pipelines de generation de contenu. Sa simplicite de deploiement (curl -fsSL https://ollama.com/install.sh | sh) a seduit des milliers d equipes qui l ont installe sans jamais penser a la securisation. Et c est exactement la le probleme : un framework IA qui sert par defaut sans aucune authentification, sur toutes les interfaces reseau, est une bombe a retardement. Bleeding Llama vient de declencher le detonateur.

Ce qui rend cette vulnerabilite particulierement devastatrice, c est la combinaison de trois facteurs : la trivialite de l exploitation (3 appels API standard, aucun exploit complexe), l absence totale de detection (pas d erreur dans les logs, pas de comportement anormal visible), et la communication deficiente du patch (les release notes de v0.17.1 ne mentionnent pas qu il s agit d un correctif de securite critique). Cette derniere defaillance est peut-etre la plus grave : des dizaines de milliers d operateurs n ont simplement pas mis a jour parce qu ils ne savaient pas qu il fallait le faire en urgence.

Avis d expert — Responsabilite des mainteneurs

La decision de ne pas signaler le correctif de securite dans les release notes est indefendable. C est exactement le type de pratique qui mine la confiance dans l open source. Quand un mainteneur decouvre une CVE CVSS 9.1 et publie le patch sans alerter sa communaute, il fait un choix delibere de laisser des centaines de milliers de serveurs exposes. L argument “on ne voulait pas attirer l attention des attaquants” ne tient pas : les attaquants sophistiques font du diff sur chaque commit de securite. Ce sont les defenseurs — les admins sys, les DevOps — qui restent dans l ignorance. C est un echec de communication, pas de securite.

Anatomie technique de Bleeding Llama

La vulnerabilite reside dans le loader GGUF d Ollama — le composant qui parse et charge les fichiers de modeles au format GGUF (GPT-Generated Unified Format). Quand Ollama charge un modele, il lit les metadonnees du fichier GGUF, notamment les dimensions des tenseurs (les matrices de poids du reseau de neurones). Le probleme : Ollama fait confiance aux dimensions declarees dans le fichier sans les valider correctement contre la taille reelle des donnees disponibles.

Un attaquant peut creer un fichier GGUF malveillant avec des dimensions de tenseur artificiellement gonflees. Par exemple, un tenseur dont les metadonnees declarent une taille de 100 Mo alors que le fichier ne contient que 1 Ko de donnees reelles. Quand Ollama tente de lire ce tenseur, il alloue un buffer base sur la taille declaree et effectue une lecture out-of-bounds qui deborde au-dela des donnees du fichier et lit directement dans la memoire heap du processus. C est exactement le meme principe que Heartbleed : une discordance entre la taille declaree et la taille reelle qui permet de lire la memoire adjacente.

La chaine d exploitation complete se deroule en trois etapes, chacune utilisant un endpoint API standard d Ollama. Premiere etape : l attaquant uploade le fichier GGUF malveillant via /api/blobs. Deuxieme etape : il cree un modele a partir de ce fichier via /api/create, ce qui declenche le parsing du loader GGUF et la lecture out-of-bounds. Troisieme etape : il exfiltre les donnees en memoire via /api/push qui renvoie le contenu du “modele” — y compris les octets lus hors limites dans la memoire heap. L operation complete prend moins de 5 secondes et ne genere aucune erreur cote serveur.

CHAINE D EXPLOITATION BLEEDING LLAMA — 3 APPELS APIATTAQUANTNon authentifieAcces reseau uniquement1. UPLOAD GGUFPOST /api/blobsFichier avec tenseur gonfle100 Mo declares / 1 Ko reel2. CREATE MODELPOST /api/createDeclenche le parsing GGUFLecture out-of-bounds3. EXFILTRATEPOST /api/pushRecoit le heapmemoire du serveurSERVEUR OLLAMA (port 11434)Processus avec heap memoire contenant :API keys | ENV vars | System promptsConversations utilisateurs | Tokens authAUCUNE TRACE DANS LES LOGSLes 3 appels sont des operations API normales — indistinguables du trafic legitimeTemps total : < 5 secondesAucun exploit complexe requisDONNEES VOLEESOPENAI_API_KEY=sk-...AWS_SECRET=AKIA...System prompt confidentielChat user: “Mon mot de...

Ce qui fait de Bleeding Llama une menace de classe Heartbleed, c est la richesse des donnees accessibles en memoire heap. Le processus Ollama stocke en memoire vive l ensemble des informations necessaires a son fonctionnement : les variables d environnement du processus (qui contiennent frequemment des cles API pour OpenAI, Anthropic, HuggingFace, ou des services cloud), les prompts systeme des modeles charges (qui peuvent contenir des instructions confidentielles ou des donnees proprietaires), et — de maniere critique — les conversations en cours des utilisateurs concurrents. Si un serveur Ollama gere plusieurs sessions simultanees, un attaquant peut potentiellement lire les echanges d autres utilisateurs sans que personne ne s en apercoive.

300 000 serveurs exposes : l ampleur du desastre

Les donnees Shodan revelent une realite terrifiante : plus de 300 000 instances Ollama sont accessibles directement depuis Internet, la majorite exposant le port 11434 sans aucune forme d authentification. Ce chiffre a explose au cours des 12 derniers mois, porte par l adoption massive de l IA generative en entreprise et la popularite d Ollama comme solution d inference locale. La France represente environ 8 000 a 12 000 de ces serveurs exposes selon les estimations croisees de Shodan et Censys.

Le probleme fondamental est architectural : Ollama, par defaut, ecoute sur 0.0.0.0:11434 — c est-a-dire toutes les interfaces reseau, sans aucune authentification. C est un choix de design qui privilegiait la simplicite d utilisation pour les developpeurs testant en local, mais qui devient catastrophique quand ces memes serveurs sont deployes sur des machines cloud avec une IP publique. Beaucoup de developpeurs ont deploye Ollama sur un VPS pour avoir plus de puissance GPU, sans realiser que leur serveur etait immediatement accessible a l ensemble d Internet.

Les scenarios d exploitation les plus preoccupants incluent : les startups qui utilisent Ollama comme backend d inference pour leurs applications (un attaquant peut voler les prompts systeme proprietaires et les cles API), les equipes de recherche qui partagent un serveur Ollama entre chercheurs (fuite de conversations contenant des donnees de recherche sensibles), et les developpeurs individuels qui ont laisse tourner un serveur de test sur un VPS en oubliant qu il est expose publiquement. Dans chaque cas, la remediation ne se limite pas au patch : il faut considerer toutes les donnees qui ont pu transiter par le serveur comme potentiellement compromises.

Avis d expert — Le probleme systemique des frameworks IA

Bleeding Llama n est pas un cas isole — c est le symptome d un probleme systemique dans l ecosysteme IA open source. Ollama, vLLM, LocalAI, LM Studio : tous ces frameworks ont ete concus avec une mentalite “developer-first” qui sacrifie la securite au profit de la simplicite. Aucun n impose d authentification par defaut. Aucun n a de modele de menaces serieux dans sa documentation. Aucun ne fait de security audit regulier. C est l equivalent de deployer une base de donnees MongoDB sans authentification en 2016 — sauf que les donnees en jeu sont potentiellement les conversations privees de milliers d utilisateurs. La communaute doit exiger des standards de securite minimum pour ces outils AVANT qu ils soient deployes en production.

Timeline de divulgation et critique du processus

La chronologie de la divulgation de Bleeding Llama revele des dysfonctionnements significatifs dans le processus de gestion des vulnerabilites d Ollama. Voici les dates cles :

TIMELINE DE DIVULGATION CVE-2026-7482 BLEEDING LLAMADEC 2025DecouverteCyera identifiela faille OOB readJAN 2026SignalementRapport envoye al equipe Ollama25 FEV 2026Patch v0.17.1Correctif publieSANS mention securiteMars-Avril : SILENCEAucun advisoryServeurs non patches12 MAI 2026PUBLICATIONCyera publie lesdetails complets76 jours entre le patch et la divulgation publiquePendant cette periode : 300 000+ serveurs vulnerables sans savoir qu un correctif existeEstimation : moins de 15% des serveurs ont applique le patch avant la publication

Le point le plus critique de cette timeline est le silence de 76 jours entre la publication du patch (25 fevrier) et la divulgation publique (12 mai). Pendant cette periode, les release notes de la version 0.17.1 ne mentionnaient que des “corrections de bugs et ameliorations de performance” — sans aucune reference a une vulnerabilite de securite critique. Les operateurs qui suivent les bonnes pratiques de mise a jour reguliere ont peut-etre applique le patch par hasard. Mais la grande majorite — ceux qui ne mettent a jour que quand une raison urgente l impose — sont restes vulnerables.

Cette pratique de silent patching est controversee dans la communaute securite. Ses defenseurs arguent qu elle reduit la fenetre d exploitation en evitant de signaler aux attaquants ou chercher. Ses critiques — et nous en faisons partie — soulignent qu elle sacrifie les defenseurs : les equipes de securite qui triagent les CVEs et priorisent les patches en fonction de leur criticite ne peuvent pas faire leur travail si les vulnerabilites ne sont pas signalees. Le resultat net est que les attaquants sophistiques (qui font du diff systematique des commits) trouvent la faille de toute facon, tandis que les defenseurs restent aveugles. C est un modele qui avantage structurellement les attaquants.

Quelles donnees sont reellement a risque ?

La memoire heap d un processus Ollama en production contient un tresor d informations sensibles. Voici un inventaire detaille de ce qu un attaquant peut extraire :

Variables d environnement : Le processus herite de toutes les variables d environnement de son contexte d execution. En pratique, cela inclut frequemment OPENAI_API_KEY, ANTHROPIC_API_KEY, AWS_SECRET_ACCESS_KEY, DATABASE_URL, et d autres credentials stockes comme variables d environnement — une pratique encore courante malgre les recommandations contraires.

Prompts systeme : Les prompts systeme des modeles actifs sont maintenus en memoire pour chaque session. Ces prompts contiennent souvent des instructions proprietaires, des guardrails specifiques a l application, ou des donnees de contexte confidentielles (informations sur les clients, regles metier, etc.). Pour les entreprises qui utilisent Ollama comme backend de leur produit IA, la fuite du prompt systeme equivaut a la fuite du code source de leur logique applicative.

Conversations des utilisateurs concurrents : Quand plusieurs utilisateurs interagissent simultanement avec le serveur Ollama, leurs messages et les reponses du modele sont en memoire heap. Un attaquant peut potentiellement lire les conversations privees d autres utilisateurs — un scenario catastrophique en termes de vie privee, surtout si le serveur est utilise pour des usages sensibles (sante, juridique, finance).

Tokens d authentification et session : Si Ollama est deploye derriere une application qui gere l authentification, les tokens de session et les headers d autorisation peuvent persister en memoire. Un attaquant qui extrait ces tokens peut potentiellement usurper l identite d utilisateurs legitimes aupres d autres services.

Avis d expert — Comparaison avec Heartbleed

La comparaison avec Heartbleed n est pas exageree — elle est structurellement exacte. Meme mecanisme (discordance taille declaree/reelle causant un out-of-bounds read), meme type de donnees a risque (cles privees, credentials, donnees utilisateur), meme echelle (des centaines de milliers de serveurs). La difference : en 2014, la communaute a reagi en masse avec des campagnes de communication massives. En 2026, Bleeding Llama passe relativement inapercu parce que le monde de la securite IA est encore immature, les equipes de securite traditionnelles ne monitorent pas Ollama, et les operateurs sont souvent des developpeurs sans culture securite ops. C est un Heartbleed silencieux — ce qui le rend potentiellement plus dangereux.

Remediation immediate : les actions a prendre maintenant

Si vous operez un serveur Ollama — en production ou meme en test — voici les actions a entreprendre immediatement, par ordre de priorite :

1. Verifier votre version : Executez ollama --version. Toute version anterieure a v0.17.1 est vulnerable. Mettez a jour immediatement vers la derniere version stable.

2. Verifier l exposition reseau : Executez ss -tlnp | grep 11434 pour voir sur quelles interfaces Ollama ecoute. Si vous voyez 0.0.0.0:11434, votre serveur est accessible depuis toutes les interfaces reseau. Configurez OLLAMA_HOST=127.0.0.1 pour restreindre l ecoute a localhost uniquement.

3. Deployer un reverse proxy avec authentification : Meme apres le patch, Ollama ne propose aucun mecanisme d authentification natif. Placez un reverse proxy (nginx, Caddy, Traefik) devant Ollama avec au minimum une authentification HTTP Basic ou un token Bearer. Consultez notre guide de deploiement Ollama en production securisee avec Docker pour un tutoriel complet.

4. Rotation des secrets : Si votre serveur etait expose publiquement avant le patch, considerez toutes les cles API et credentials qui etaient en variables d environnement comme compromis. Regenerez immediatement : cles API OpenAI/Anthropic, tokens AWS/GCP/Azure, credentials de base de donnees, et tout autre secret qui etait accessible dans l environnement du processus Ollama.

5. Auditer les logs reseau : Meme si Bleeding Llama ne laisse pas de trace dans les logs applicatifs d Ollama, les requetes HTTP sont visibles dans les logs de votre reverse proxy (si vous en avez un) ou dans les captures reseau. Recherchez des patterns inhabituels : des appels /api/blobs suivis de /api/create puis /api/push depuis la meme IP en rapide succession.

Le probleme plus large : la securite des frameworks IA open source

Bleeding Llama n est que la partie emergee de l iceberg. L ecosysteme des frameworks d inference IA open source souffre d un deficit de securite structurel qui va bien au-dela d Ollama. Le probleme fondamental est que ces outils ont ete concus comme des utilitaires de developpement — pas comme des services de production. Leur surface d attaque n a jamais ete serieusement modelisee, leurs APIs n implementent aucune forme d authentification par defaut, et leur documentation ne mentionne la securite que comme une note de bas de page.

SECURITE PAR DEFAUT DES FRAMEWORKS IA OPEN SOURCE — COMPARATIFFrameworkAuth nativeBind par defautTLS natifAudit securiteCVEs connuesOllamaAucune0.0.0.0NonNon6 (dont CVSS 9.1)vLLMOpt-in token0.0.0.0NonNon3LocalAIAPI key opt-in0.0.0.0NonNon2LM StudioAucunelocalhostNonNon0 connuesIDEAL (2026)Obligatoire127.0.0.1OuiAnnuelN/A

Le tableau ci-dessus illustre le deficit generalise. Aucun des frameworks majeurs d inference IA ne propose une configuration securisee par defaut qui serait acceptable pour un service de production. Le bind sur 0.0.0.0 par defaut, l absence d authentification native obligatoire, l absence de TLS, et l absence d audit de securite regulier sont la norme — pas l exception. Seul LM Studio fait le choix sensible de bind sur localhost par defaut, mais il ne propose toujours aucune authentification pour son API serveur.

Pour les developpeurs open source francais, ce constat doit servir de catalyseur. Si vous contribuez a un framework IA, poussez pour l authentification obligatoire par defaut. Si vous maintenez un projet qui depend d Ollama, documentez et implementez les couches de securite manquantes. Si vous deployes des services IA, traitez-les avec le meme niveau de vigilance securitaire qu une base de donnees exposee sur Internet — parce que c est exactement ce qu ils sont. Les outils que nous avions presentes dans notre article sur la securisation des pipelines npm et l audit des GitHub Actions runners illustrent cette mentalite “security-first” qui manque cruellement a l ecosysteme IA.

Impact sur l adoption de l IA open source en entreprise

Bleeding Llama va inevitablement avoir un impact sur la perception de l IA open source en entreprise, et ce n est pas entierement negatif. D un cote, les RSSI et les equipes de conformite vont utiliser cette vulnerabilite comme argument pour freiner l adoption d Ollama dans les environnements de production. “Vous voyez ? C est exactement pour ca qu on ne deploie pas des frameworks IA open source sans audit” sera le refrain dans beaucoup de comites de securite dans les prochaines semaines.

De l autre cote, cette vulnerabilite est aussi un argument en faveur de l open source. C est precisement parce que Ollama est open source que les chercheurs de Cyera ont pu identifier la faille dans le loader GGUF. Avec un service d inference proprietaire (comme ceux proposes par OpenAI, Anthropic, ou Google), des vulnerabilites similaires pourraient exister sans que personne a l exterieur ne puisse les decouvrir ou les auditer. L open source ne garantit pas l absence de failles — il garantit qu elles sont trouvables et corrigeables par la communaute.

Pour les entreprises francaises qui evaluent le deploiement d Ollama, la bonne reponse n est pas d abandonner l outil mais de l encadrer correctement. Un deploiement Ollama en production doit obligatoirement inclure : un reverse proxy avec authentification, une isolation reseau (VLAN dedie ou Docker network), un monitoring des appels API anormaux, une politique de mise a jour automatique, et une rotation reguliere des secrets. Ces mesures transforment un outil de developpement en service de production resilient — exactement comme on ne deploierait jamais un serveur PostgreSQL nu sur Internet sans pare-feu, authentification, et chiffrement TLS.

Avis d expert — Ce que l ecosysteme doit changer

Trois changements structurels sont necessaires pour eviter le prochain Bleeding Llama. Premierement, les frameworks IA doivent adopter le principe de “secure by default” : bind sur localhost, authentification obligatoire, TLS encourage. Deuxiemement, les mainteneurs doivent s engager sur un processus de divulgation responsable transparent, avec des advisories de securite clairs pour chaque correctif CVE — pas de silent patching. Troisiemement, la communaute a besoin d un equivalent du “OpenSSF Scorecard” pour les frameworks IA, evaluant automatiquement leur posture de securite. Tant que ces trois piliers ne sont pas en place, chaque nouveau framework d inference IA sera un Ollama en puissance — populaire, facile a deployer, et catastrophiquement insecure par defaut.

FAQ

Qu est-ce que la vulnerabilite Bleeding Llama CVE-2026-7482 dans Ollama ?

Bleeding Llama est une vulnerabilite critique (CVSS 9.1) de type out-of-bounds read dans le loader GGUF d Ollama, decouverte par les chercheurs de Cyera. Elle permet a un attaquant non authentifie de lire l integralite de la memoire heap du processus Ollama en uploadant un fichier GGUF malveillant avec des dimensions de tenseur artificiellement gonflees. L attaque ne necessite que 3 appels API standard (/api/blobs, /api/create, /api/push) et ne laisse aucune trace dans les logs du serveur. Les donnees exposees incluent les cles API, variables d environnement, prompts systeme et conversations des utilisateurs.

Combien de serveurs Ollama sont exposes a CVE-2026-7482 ?

Selon les donnees Shodan, plus de 300 000 serveurs Ollama sont accessibles publiquement sur Internet, la majorite exposant le port 11434 sans aucune authentification. La France represente environ 8 000 a 12 000 de ces serveurs exposes. Comme le patch v0.17.1 n a pas ete signale comme correctif de securite dans les release notes, beaucoup d operateurs n ont pas mis a jour leur installation et restent vulnerables meme 76 jours apres la disponibilite du correctif.

Comment savoir si mon serveur Ollama est vulnerable a Bleeding Llama ?

Verifiez votre version avec la commande ollama --version. Toute version anterieure a v0.17.1 (publiee le 25 fevrier 2026) est vulnerable. Verifiez egalement si votre serveur est accessible depuis Internet sans authentification avec ss -tlnp | grep 11434. Si le serveur ecoute sur 0.0.0.0 et est accessible publiquement sans reverse proxy avec authentification, il est exploitable immediatement par n importe quel attaquant sur Internet.

Comment proteger mon serveur Ollama contre CVE-2026-7482 ?

Actions immediates par priorite : 1) Mettre a jour vers Ollama v0.17.1 ou superieur. 2) Configurer OLLAMA_HOST=127.0.0.1 pour que le serveur n ecoute que sur localhost. 3) Deployer un reverse proxy (nginx, Caddy) avec authentification obligatoire devant Ollama. 4) Effectuer une rotation de tous les secrets (cles API, tokens) qui etaient en variables d environnement du processus. 5) Deployer Ollama dans un conteneur Docker avec un reseau isole. Pour un guide complet, consultez notre article sur le deploiement securise d Ollama en production avec Docker.

Besoin d aide pour securiser votre deploiement Ollama ?

Audit de securite, configuration reverse proxy, deploiement Docker isole, rotation de secrets, monitoring — notre equipe vous accompagne dans la remediation.

Nous contacter

Articles lies :

Sources : Cyera Research — Bleeding Llama, NVD — CVE-2026-7482, Ollama v0.17.1 Release Notes