Dziura HollowByte w OpenSSL może zamrozić pamięć serwera przez 11-bajtowe żądania TLS

Luka HollowByte w OpenSSL pozwala na zamrożenie pamięci serwera. Poprawka wydana bez CVE utrudnia identyfikację podatnych systemów.

Wykryto lukę “HollowByte” w OpenSSL, która pozwala atakującemu wysyłającemu złośliwie spreparowane 11-bajtowe żądania TLS na zajęcie do 131 KB pamięci serwera na połączenie, która nie zostaje zwolniona aż do restartu procesu. Mimo że OpenSSL wydał poprawkę w czerwcu, zrobił to bez przypisania CVE, publikacji oficjalnego komunikatu ani wpisu w dzienniku zmian, co utrudnia identyfikację i łatanie podatnych systemów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)