V-Help
← Все новости
Безопасность

Уязвимость HollowByte в OpenSSL вызывает утечку памяти с помощью 11-байтового пакета

Уязвимость HollowByte в OpenSSL вызывает утечку памяти с помощью 11-байтового пакета

Фото: BleepingComputer

Краткий ответ

Уязвимость HollowByte в OpenSSL позволяет атакующим вызывать отказ в обслуживании серверов, отправляя 11-байтовый пакет, который провоцирует неконтролируемое выделение памяти.

Специалисты команды Red Team компании Okta выявили серьёзную уязвимость в библиотеке OpenSSL, которая позволяет неавторизованным атакующим вызывать отказ в обслуживании (DoS) на серверах. Проблема, получившая название HollowByte, проявляется при отправке всего 11-байтового пакета, который заставляет сервер выделять значительные объёмы памяти без фактической необходимости.

Уязвимость возникает из-за особенностей обработки TLS-рукопожатий в уязвимых версиях OpenSSL. Сервер выделяет память под входящие данные, полагаясь на заявленный размер в заголовке пакета, не проверяя фактический объём передаваемых данных. Злоумышленники могут отправлять пакеты с завышенными значениями длины, что приводит к фрагментации памяти и её неконтролируемому росту. Даже после завершения атаки сервер остаётся в состоянии повышенного потребления ресурсов до перезапуска процесса.

OpenSSL используется в большинстве Linux-дистрибутивов, а также в популярных веб-серверах (NGINX, Apache), языковых средах (Node.js, Python, PHP) и базах данных (MySQL, PostgreSQL). В ходе тестирования Okta выяснила, что атака может вывести из строя серверы с низкими ресурсами, а на более мощных системах приводит к потере до 25% доступной памяти без срабатывания систем мониторинга.

Разработчики OpenSSL уже устранили проблему в версиях 4.0.1, 3.6.3, 3.5.7, 3.4.6 и 3.0.21. Исправление изменяет механизм выделения памяти: теперь буфер расширяется только при фактическом поступлении данных, игнорируя заявленные в заголовке значения. Несмотря на то, что уязвимость классифицирована как «усиление защиты», а не критическая брешь, эксперты рекомендуют немедленно обновить библиотеку.

Частые вопросы

Что такое уязвимость HollowByte?
HollowByte — это уязвимость в OpenSSL, позволяющая злоумышленникам вызывать утечку памяти на сервере с помощью 11-байтового пакета. Это приводит к отказу в обслуживании (DoS) из-за неконтролируемого выделения ресурсов.
Какие версии OpenSSL уязвимы к HollowByte?
Уязвимость затрагивает версии OpenSSL до 4.0.1, а также ветки 3.6.x, 3.5.x, 3.4.x и 3.0.x. Исправления уже включены в обновлённые релизы.
Как защититься от атаки через HollowByte?
Для защиты необходимо обновить OpenSSL до последней версии (4.0.1 или соответствующей исправленной ветки). Также рекомендуется перезапустить процессы, использующие библиотеку, чтобы освободить занятую память.
Поделиться:

Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml

Почему этому можно верить

Материал подготовлен редакцией V-Help на основе первоисточника с указанием даты публикации.

Публикация: Новостной отдел V-Help.ru

Источник материала: BleepingComputer