Wykryto lukę “HollowByte” w OpenSSL, która pozwala atakującemu wysyłającemu złośliwie spreparowane 11-bajtowe żądania TLS na zajęcie do 131 KB pamięci serwera na połączenie, która nie zostaje zwolniona aż do restartu procesu. Mimo że OpenSSL wydał poprawkę w czerwcu, zrobił to bez przypisania CVE, publikacji oficjalnego komunikatu ani wpisu w dzienniku zmian, co utrudnia identyfikację i łatanie podatnych systemów.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)