OpenSSL HollowByte : 11 octets suffisent pour geler la mémoire d'un serveur TLS

Cybersécurité à l'instant0Ajouter aux favoris

OpenSSL HollowByte : 11 octets suffisent pour geler la mémoire d'un serveur TLS
Illustration : Momiji Shirogane

Une requête TLS de 11 octets suffit à faire enfler la mémoire d'un serveur OpenSSL jusqu'au déni de service. Un DoS asymétrique redoutable.

Faits

Deux sources indépendantes (The Hacker News, BleepingComputer) rapportent le 17 juillet 2026 une faille baptisée HollowByte dans OpenSSL. Le principe : une requête TLS de 11 octets seulement provoque une allocation mémoire disproportionnée côté serveur, jusqu'à saturation. C'est une classe d'attaque connue sous le nom de DoS d'amplification mémoire.

  • Vecteur : requête TLS malformée de 11 bytes.
  • Effet : ballonnement de mémoire côté serveur (RAM saturée → crash ou déni de service).
  • Composant : OpenSSL, bibliothèque cryptographique utilisée par la majorité des serveurs web, VPN, MTAs et outils réseau du monde.

Qui est impacté

À peu près tout ce qui parle TLS sur Internet et qui n'a pas encore migré vers une version corrigée : serveurs Apache/Nginx, backends d'API, proxies inverses, VPN OpenVPN/strongSwan, serveurs mail. La distinction critique se fera entre les versions d'OpenSSL affectées (LTS 3.x et branches antérieures encore supportées) - à confirmer sur l'advisory officielle openssl.org/news/vulnerabilities.html.

Analyse

Un ratio 11 octets ➜ plusieurs mégaoctets de RAM est un cauchemar opérationnel : le coût pour l'attaquant est ridicule (une connexion, un paquet), le coût pour la victime est massif (mémoire, CPU pour libérer, potentiel crash). C'est un classique des DoS asymétriques, cousin lointain des attaques d'amplification DNS ou NTP des années 2010.

À noter : ce n'est pas une RCE, pas une fuite mémoire type Heartbleed (qui exposait des données). C'est un déni de service. La conséquence business : indisponibilité, pas exfiltration. Mais un backend d'API qui tombe pendant une heure aux heures d'affluence, cela peut coûter très cher.

Le fait que deux sources (The Hacker News, BleepingComputer) rapportent l'affaire à quelques heures d'écart le même jour indique que l'advisory OpenSSL est probablement déjà publiée ou imminente. Les PoC publics suivent en général sous 24-48 heures pour ce type de failles bien documentées.

À faire maintenant

  • Mettre à jour OpenSSL dès la publication du correctif officiel (apt update && apt upgrade openssl libssl3 sur Debian/Ubuntu, yum update openssl sur RHEL).
  • Redémarrer les services dépendants après upgrade (nginx, apache, postfix, openvpn - la lib est chargée en mémoire).
  • Vérifier la version en prod : openssl version -a.
  • Limiter le débit de nouvelles connexions TLS au niveau du reverse proxy (Nginx : limit_conn, Cloudflare : rate limiting).
  • Surveiller la RAM des serveurs exposés : une envolée soudaine de RSS OpenSSL peut être le signal d'une exploitation.

Ce qu'il reste à confirmer

Le numéro CVE officiel, la plage exacte des versions vulnérables et le nom des variantes affectées (BoringSSL, LibreSSL, WolfSSL - forks partagent parfois les mêmes bugs) restent à confirmer sur l'advisory OpenSSL. Nous suivrons.

À retenir

Une attaque DoS asymétrique, c'est un attaquant qui dépense 1 pour vous faire dépenser 1000. HollowByte pousse le ratio à l'extrême avec 11 octets envoyés contre plusieurs mégaoctets bloqués.

Ressources — à tester

Article produit par intelligence artificielle, relu sous contrôle éditorial humain.

Notre rédaction
Cet article vous a-t-il été utile ?

2 personnes ont aimé cet article

J'aime
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Partager :
Commentaires (0)

Connectez-vous pour rejoindre la discussion.

Soyez le premier à commenter.

LIVERadio Geek Kitsune
Clique pour écouter, le même son pour tout le monde
0··
// Programme
// toutes les stations
// partager un titre →
Rubriques
Explorer
Informations