TL;DR

Jeśli używasz Ollama na Windows w wersji [^1] 0.12.10–0.17.5, masz problem. Dwie podatności w mechanizmie aktualizacji [^2][^3] pozwalają atakującemu na zdalne wykonanie kodu. Pierwsza: brak weryfikacji pobranych plików [^4]. Druga: path traversal w nagłówkach HTTP [^5]. Razem: automatyczne zainstalowanie malware’u bez Twojej wiedzy [^6]. Działanie natychmiast: wyłącz automatyczne aktualizacje, zaktualizuj do wersji 0.17.6+, jeśli dostępna.

[CALLOUT] W skrócie: Ollama na Windows nie sprawdza, czy pobiera autentyczne pliki aktualizacji, i pozwala atakującemu zapisać kod w folderze Startup. Kombinacja tych dwóch błędów = zdalne przejęcie systemu.

Wektor ataku: dwie luki, jeden scenariusz

Zaobserwowaliśmy dwie odrębne podatności, które w praktyce działają jako jedno zagrożenie. Oto jak to wygląda z perspektywy atakującego.

CVE-2026-42248: Brak weryfikacji integralności aktualizacji

Ollama na Windows [^7] wykonuje automatyczne aktualizacje bez powiadamiania użytkownika. To samo w sobie nie jest błędem — wiele aplikacji tak robi. Problem: [^4] procedura weryfikacji aktualizacji zawsze zwraca sukces, bez sprawdzenia podpisu cyfrowego. Innymi słowy — aplikacja pobiera plik, ale nigdy nie sprawdza, czy to naprawdę plik od twórców Ollama.

To klasyczna podatność [^8] CWE-494 (Download of Code Without Integrity Check). Atakujący, który może przechwycić komunikację między Ollama a serwerem aktualizacji (MITM, DNS hijacking, kompromitacja sieci), może podstawić złośliwy plik. Ollama go zainstaluje bez pytania.

CVE-2026-42249: Path traversal w nagłówkach HTTP

Druga luka [^3] to niewłaściwa obsługa nagłówków HTTP podczas pobierania aktualizacji. Konkretnie: [^5] aplikacja konstruuje lokalne ścieżki plików, wykorzystując wartości z nagłówków HTTP bez walidacji, i przekazuje je bezpośrednio do filepath.Join. To umożliwia sekwencje ../ (path traversal).

W praktyce: atakujący może manipulować nagłówkami HTTP tak, aby plik aktualizacji został zapisany nie w zamierzonym katalogu, ale [^9] w folderze Startup systemu Windows. Folder Startup to miejsce, z którego Windows automatycznie uruchamia programy przy starcie. Zapisz tam plik .exe, a będzie się uruchamiać za każdym razem.

To podatność [^10] CWE-494 + CWE-22 (Path Traversal).

Kombinacja: automatyczne przejęcie

[^6] Razem te dwie luki umożliwiają atakującemu dostarczenie złośliwych plików, które są zapisywane we wrażliwych lokalizacjach i wykonywane automatycznie. Scenariusz:

  1. Atakujący przechwytuje komunikację Ollama z serwerem aktualizacji (lub kompromituje serwer).
  2. Zamiast autentycznej aktualizacji wysyła złośliwy plik .exe.
  3. Ollama pobiera plik bez weryfikacji (CVE-2026-42248).
  4. Atakujący manipuluje nagłówkami HTTP, aby plik trafił do folderu Startup (CVE-2026-42249).
  5. Przy następnym restarcie systemu malware się uruchamia.
  6. Użytkownik nic nie wie.

Kto jest zagrożony?

[^1] Podatne są wersje Ollama od 0.12.10 do 0.17.5 włącznie, tylko na Windows. Jeśli używasz Ollama na Linuxie lub macOS, jesteś bezpieczny — te systemy mają inne mechanizmy aktualizacji.

W Polsce Ollama zyskuje popularność wśród:

  • Deweloperów eksperymentujących z lokalnymi modelami LLM (ChatGPT offline).
  • Małych firm SaaS pracujących nad narzędziami AI.
  • Zespołów R&D w większych korporacjach.

[OWN: Czy widzisz Ollama w swoim środowisku? Czy to narzędzie, które polskie firmy tech zaczęły masowo wdrażać?]

Wskaźniki kompromitacji

Jeśli podejrzewasz, że Twój system został zaatakowany:

• Nieoczekiwane pliki .exe w folderze Startup:
  C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

• Procesy uruchamiane przy starcie, których nie rozpoznajesz
  (Task Manager > Startup tab, lub: msconfig > Startup)

• Logi Ollama zawierające błędy pobierania aktualizacji
  (jeśli Ollama loguje do pliku)

• Nieoczekiwane połączenia sieciowe od Ollama do nieznanych adresów IP
  (netstat -ano | findstr ollama.exe)

[OWN: Jakie narzędzia do forensyki rekomendowałbyś polskiemu zespołowi IT, który chce sprawdzić, czy jego Windows został zainfekowany tą drogą?]

Co zrobić w 24–48 godzin

Natychmiast (teraz)

  1. Sprawdź wersję Ollama: Otwórz terminal i wpisz ollama --version. Jeśli wersja to 0.12.10–0.17.5, jesteś zagrożony.

  2. Wyłącz automatyczne aktualizacje: Ollama na Windows może mieć ustawienie autoupdate. Sprawdź plik konfiguracyjny (zazwyczaj %APPDATA%\Ollama\config.json lub zmienne środowiskowe). Jeśli możesz wyłączyć autoupdate — zrób to teraz.

  3. Sprawdź folder Startup: Przejdź do C:\Users\[Twoja nazwa użytkownika]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Czy są tam pliki, których nie rozpoznajesz? Jeśli tak — usuń je i przeskanuj system antywirusem.

W ciągu 24 godzin

  1. Zaktualizuj Ollama: Jeśli dostępna jest wersja 0.17.6 lub nowsza, pobierz ją ręcznie z oficjalnej strony (https://ollama.ai), a nie poprzez autoupdate. Jeśli dostępny jest hash pobranych plików, zweryfikuj go.

  2. Przeskanuj system: Uruchom pełne skanowanie antywirusem (Windows Defender, jeśli nic innego nie masz). Zwróć szczególną uwagę na folder Startup i katalog Ollama.

  3. Przejrzyj logi: Jeśli masz dostęp do logów systemowych (Event Viewer), sprawdź, czy nie ma podejrzanych procesów uruchamianych z folderu Startup.

W ciągu 48 godzin

  1. Komunikacja z zespołem: Jeśli Ollama jest zainstalowana na komputerach pracowników, poinformuj ich o podatności. Wyślij instrukcję aktualizacji.

  2. Przegląd sieci: Jeśli Ollama jest używana w sieci korporacyjnej, sprawdź, czy komunikacja z serwerem aktualizacji jest szyfrowana (HTTPS) i czy serwer jest zaufany. Rozważ blokowanie aktualizacji na poziomie firewall’a i wymuszenie ręcznych aktualizacji.

Kontekst: dlaczego to się stało?

[^11] Deweloperzy Ollama zostali poinformowani o podatności, jednak nie udzielili informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. To oznacza, że zespół Ollama albo nie potraktował sprawy priorytetowo, albo ma problemy z komunikacją. W każdym razie: brak transparentności.

[^12] Podatności zostały zgłoszone przez Bartłomieja Dmitruka z firmy striga.ai. [^13] CERT Polska koordynował proces ujawniania informacji. To dobry przykład odpowiedzialnego disclosure — badacz znalazł lukę, zgłosił ją do CERT, CERT skontaktował się z deweloperami, a teraz (po upływie czasu na naprawę) informacja jest publiczna.

Rekomendacje dla polskich firm

Jeśli Twoja firma używa Ollama:

Małe firmy / startupy: Wyłącz autoupdate, przejdź na ręczne aktualizacje, przeskanuj systemy. Jeśli Ollama nie jest krytyczna dla biznesu, rozważ czasowe wyłączenie, aż do wersji 0.17.6+.

Średnie firmy: Przeprowadź audit — gdzie jest zainstalowana Ollama? Kto ma dostęp? Czy komunikacja z serwerem aktualizacji jest monitorowana? Wymuś ręczne aktualizacje na poziomie polityki IT.

Duże korporacje: Jeśli Ollama jest w środowisku produkcyjnym, to powinno być zarządzane przez zespół DevOps/SRE. Wyłącz autoupdate, testuj aktualizacje w środowisku staging, dopiero potem roll-out do produkcji.