Cybersicherheit just now0Zu Lesezeichen hinzufügen

Eine TLS-Anfrage von 11 Bytes reicht aus, um den Speicher eines OpenSSL-Servers bis zum Denial of Service anwachsen zu lassen. Ein furchterregender asymmetrischer DoS.
Zwei unabhängige Quellen (The Hacker News, BleepingComputer) berichten am 17. Juli 2026 über eine als HollowByte bezeichnete Schwachstelle in OpenSSL. Das Prinzip: Eine TLS-Anfrage von nur 11 Bytes löst eine übermäßige Speicherzuweisung auf Serverseite aus, bis zur Sättigung. Es handelt sich um eine bekannte Angriffsklasse, die als DoS durch Speicheramplifikation bezeichnet wird.
Fast alles, was TLS auf dem Internet verwendet und noch nicht auf eine korrigierte Version migriert hat: Apache/Nginx-Server, API-Backends, Reverse-Proxies, VPNs (OpenVPN/strongSwan), Mailserver. Der kritische Unterschied wird zwischen den betroffenen OpenSSL-Versionen (LTS 3.x und ältere, noch unterstützte Zweige) bestehen - dies ist auf dem offiziellen Advisory unter openssl.org/news/vulnerabilities.html zu bestätigen.
Ein Verhältnis von 11 Bytes ➜ mehrere Megabytes RAM ist ein operativer Albtraum: Die Kosten für den Angreifer sind lächerlich (eine Verbindung, ein Paket), die Kosten für das Opfer sind massiv (Speicher, CPU zum Freigeben, potenzieller Absturz). Es handelt sich um ein klassisches Beispiel für asymmetrische DoS-Angriffe, einen entfernten Verwandten der DNS- oder NTP-Amplifikationsangriffe der 2010er Jahre.
Zu beachten: Es handelt sich nicht um eine RCE, keine Speicherlecks wie bei Heartbleed (die Daten preisgab). Es handelt sich um einen Denial-of-Service-Angriff. Die geschäftliche Folge: Unverfügbarkeit, nicht Datenexfiltration. Aber ein API-Backend, das während der Stoßzeiten für eine Stunde ausfällt, kann sehr teuer sein.
Die Tatsache, dass zwei Quellen (The Hacker News, BleepingComputer) die Angelegenheit innerhalb weniger Stunden am selben Tag berichten, deutet darauf hin, dass der OpenSSL-Advisory wahrscheinlich bereits veröffentlicht oder unmittelbar bevorstehend ist. Öffentliche Proof-of-Concepts folgen in der Regel innerhalb von 24-48 Stunden für solche gut dokumentierten Schwachstellen.
apt update && apt upgrade openssl libssl3 auf Debian/Ubuntu, yum update openssl auf RHEL).openssl version -a.limit_conn, Cloudflare: Rate Limiting).Die offizielle CVE-Nummer, der genaue Bereich der betroffenen Versionen und die Namen der betroffenen Varianten (BoringSSL, LibreSSL, WolfSSL - Forks teilen manchmal die gleichen Fehler) müssen noch im OpenSSL-Advisory bestätigt werden. Wir werden dies verfolgen.
Ein asymmetrischer DoS-Angriff bedeutet, dass ein Angreifer 1 ausgibt, um Sie 1000 ausgeben zu lassen. HollowByte treibt das Verhältnis auf die Spitze mit 11 gesendeten Bytes gegen mehrere Megabytes blockierten Speichers.
Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.
Melden Sie sich an, um an der Diskussion teilzunehmen.
Soyez le premier à commenter.