❄️ Вразливість OpenSSL HollowByte заморожує пам’ять серверів через TLS-запити

Команда Okta Red Team оприлюднила деталі про уразливість HollowByte в бібліотеці OpenSSL, що призводить до відмови серверів у обслуговуванні. Старіші версії без перевірки виділяють буфер пам’яті на базі 4-байтового заголовка пакета TLS ще до надходження самого повідомлення від клієнта. Атака діє без авторизації чи обміну ключами. Особливу небезпеку створює взаємодія з бібліотекою glibc на Linux: після розриву з’єднання виділена пам’ять не повертається операційній системі, а залишається всередині процесу.

Через зміну розміру запитів пам’ять фрагментується і повністю вичерпується. У тестах Okta на сервері з 1 ГБ процес NGINX зупинився через блокування 547 МБ пам’яті. Розробники OpenSSL випустили виправлення в релізах 4.0.1, 3.6.3, 3.5.7, 3.4.6 та 3.0.21, але класифікували це як посилення захисту без присвоєння CVE. Це ускладнює автоматичне сканування. Також вразливим залишається протокол DTLS.