OpenSSL HollowByte: 11 Bytes reichen aus, um den Speicher eines TLS-Servers einzufrieren

Cybersicherheit 1 h ago0Zu Lesezeichen hinzufügen

OpenSSL HollowByte: 11 Bytes reichen aus, um den Speicher eines TLS-Servers einzufrieren
Illustration : Momiji Shirogane

Eine TLS-Anfrage von 11 Bytes reicht aus, um den Speicher eines OpenSSL-Servers bis zum Denial of Service anwachsen zu lassen. Ein furchterregender asymmetrischer DoS.

Fakten

Zwei unabhängige Quellen (The Hacker News, BleepingComputer) berichten am 17. Juli 2026 über eine als HollowByte bezeichnete Schwachstelle in OpenSSL. Das Prinzip: Eine TLS-Anfrage von nur 11 Bytes löst eine übermäßige Speicherzuweisung auf Serverseite aus, bis zur Sättigung. Es handelt sich um eine bekannte Angriffsklasse, die als DoS durch Speicheramplifikation bezeichnet wird.

  • Angriffsvektor: Eine fehlerhafte TLS-Anfrage von 11 Bytes.
  • Auswirkung: Speicheraufblähung auf Serverseite (RAM gesättigt → Absturz oder Dienstverweigerung).
  • Komponente: OpenSSL, eine kryptografische Bibliothek, die von der Mehrheit der Webserver, VPNs, MTAs und Netzwerktools weltweit verwendet wird.

Wer ist betroffen

Fast alles, was TLS auf dem Internet verwendet und noch nicht auf eine korrigierte Version migriert hat: Apache/Nginx-Server, API-Backends, Reverse-Proxies, VPNs (OpenVPN/strongSwan), Mailserver. Der kritische Unterschied wird zwischen den betroffenen OpenSSL-Versionen (LTS 3.x und ältere, noch unterstützte Zweige) bestehen - dies ist auf dem offiziellen Advisory unter openssl.org/news/vulnerabilities.html zu bestätigen.

Analyse

Ein Verhältnis von 11 Bytes ➜ mehrere Megabytes RAM ist ein operativer Albtraum: Die Kosten für den Angreifer sind lächerlich (eine Verbindung, ein Paket), die Kosten für das Opfer sind massiv (Speicher, CPU zum Freigeben, potenzieller Absturz). Es handelt sich um ein klassisches Beispiel für asymmetrische DoS-Angriffe, einen entfernten Verwandten der DNS- oder NTP-Amplifikationsangriffe der 2010er Jahre.

Zu beachten: Es handelt sich nicht um eine RCE, keine Speicherlecks wie bei Heartbleed (die Daten preisgab). Es handelt sich um einen Denial-of-Service-Angriff. Die geschäftliche Folge: Unverfügbarkeit, nicht Datenexfiltration. Aber ein API-Backend, das während der Stoßzeiten für eine Stunde ausfällt, kann sehr teuer sein.

Die Tatsache, dass zwei Quellen (The Hacker News, BleepingComputer) die Angelegenheit innerhalb weniger Stunden am selben Tag berichten, deutet darauf hin, dass der OpenSSL-Advisory wahrscheinlich bereits veröffentlicht oder unmittelbar bevorstehend ist. Öffentliche Proof-of-Concepts folgen in der Regel innerhalb von 24-48 Stunden für solche gut dokumentierten Schwachstellen.

Was jetzt zu tun ist

  • OpenSSL aktualisieren sobald der offizielle Patch veröffentlicht wird (apt update && apt upgrade openssl libssl3 auf Debian/Ubuntu, yum update openssl auf RHEL).
  • Dienste neu starten, die von der Aktualisierung abhängen (nginx, apache, postfix, openvpn - die Bibliothek wird im Speicher geladen).
  • Version in der Produktion überprüfen: openssl version -a.
  • Durchsatz neuer TLS-Verbindungen auf Ebene des Reverse-Proxys begrenzen (Nginx: limit_conn, Cloudflare: Rate Limiting).
  • RAM der exponierten Server überwachen: Ein plötzlicher Anstieg des RSS von OpenSSL kann ein Zeichen für eine Ausnutzung sein.

Was noch zu bestätigen bleibt

Die offizielle CVE-Nummer, der genaue Bereich der betroffenen Versionen und die Namen der betroffenen Varianten (BoringSSL, LibreSSL, WolfSSL - Forks teilen manchmal die gleichen Fehler) müssen noch im OpenSSL-Advisory bestätigt werden. Wir werden dies verfolgen.

Zu beachten

Ein asymmetrischer DoS-Angriff bedeutet, dass ein Angreifer 1 ausgibt, um Sie 1000 ausgeben zu lassen. HollowByte treibt das Verhältnis auf die Spitze mit 11 gesendeten Bytes gegen mehrere Megabytes blockierten Speichers.

Resources

Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.

Unsere Redaktion
War dieser Artikel hilfreich?

6 Personen gefiel dieser Artikel

Gefällt mir
K
Kenji AraiExperte für Cybersicherheit
Experte für Cybersicherheit, methodische Beobachterin, nie alarmistisch, immer handlungsfähig.
Teilen:
Kommentare (0)

Melden Sie sich an, um an der Diskussion teilzunehmen.

Soyez le premier à commenter.

LIVERadio Geek Kitsune
Tippen zum Hören – für alle derselbe Sound
0··
// Programm
// all stations
// Track teilen →
Themen
Erkunden
Informationen