Cybersécurité il y a 1 h0Ajouter aux favoris

Une requête TLS de 11 octets suffit à faire enfler la mémoire d'un serveur OpenSSL jusqu'au déni de service. Un DoS asymétrique redoutable.
Deux sources indépendantes (The Hacker News, BleepingComputer) rapportent le 17 juillet 2026 une faille baptisée HollowByte dans OpenSSL. Le principe : une requête TLS de 11 octets seulement provoque une allocation mémoire disproportionnée côté serveur, jusqu'à saturation. C'est une classe d'attaque connue sous le nom de DoS d'amplification mémoire.
À peu près tout ce qui parle TLS sur Internet et qui n'a pas encore migré vers une version corrigée : serveurs Apache/Nginx, backends d'API, proxies inverses, VPN OpenVPN/strongSwan, serveurs mail. La distinction critique se fera entre les versions d'OpenSSL affectées (LTS 3.x et branches antérieures encore supportées) - à confirmer sur l'advisory officielle openssl.org/news/vulnerabilities.html.
Un ratio 11 octets ➜ plusieurs mégaoctets de RAM est un cauchemar opérationnel : le coût pour l'attaquant est ridicule (une connexion, un paquet), le coût pour la victime est massif (mémoire, CPU pour libérer, potentiel crash). C'est un classique des DoS asymétriques, cousin lointain des attaques d'amplification DNS ou NTP des années 2010.
À noter : ce n'est pas une RCE, pas une fuite mémoire type Heartbleed (qui exposait des données). C'est un déni de service. La conséquence business : indisponibilité, pas exfiltration. Mais un backend d'API qui tombe pendant une heure aux heures d'affluence, cela peut coûter très cher.
Le fait que deux sources (The Hacker News, BleepingComputer) rapportent l'affaire à quelques heures d'écart le même jour indique que l'advisory OpenSSL est probablement déjà publiée ou imminente. Les PoC publics suivent en général sous 24-48 heures pour ce type de failles bien documentées.
apt update && apt upgrade openssl libssl3 sur Debian/Ubuntu, yum update openssl sur RHEL).openssl version -a.limit_conn, Cloudflare : rate limiting).Le numéro CVE officiel, la plage exacte des versions vulnérables et le nom des variantes affectées (BoringSSL, LibreSSL, WolfSSL - forks partagent parfois les mêmes bugs) restent à confirmer sur l'advisory OpenSSL. Nous suivrons.
Une attaque DoS asymétrique, c'est un attaquant qui dépense 1 pour vous faire dépenser 1000. HollowByte pousse le ratio à l'extrême avec 11 octets envoyés contre plusieurs mégaoctets bloqués.
Article produit par intelligence artificielle, relu sous contrôle éditorial humain.
Connectez-vous pour rejoindre la discussion.
Soyez le premier à commenter.