OpenSSL HollowByte:TLSサーバーのメモリを凍結させるのに11バイトで十分

サイバーセキュリティ 1 h ago0ブックマークに追加

OpenSSL HollowByte:TLSサーバーのメモリを凍結させるのに11バイトで十分
Illustration : Momiji Shirogane

11バイトのTLSリクエストでOpenSSLサーバーのメモリを膨張させ、サービス拒否に至らしめる。恐るべき非対称DoS攻撃。

Faits

二つの独立したソース(The Hacker News、BleepingComputer)は、2026年7月17日にOpenSSLにHollowByteという脆弱性があると報告しています。その仕組みは、サーバー側でメモリ割り当てを過剰に引き起こし、最終的には飽和状態に至る11オクテットのみのTLSリクエストです。これはメモリアンプリフィケーションDoSとして知られる攻撃クラスです。

  • ベクトル:11バイトの不正なTLSリクエスト。
  • 効果:サーバー側のメモリ膨張(RAMが飽和→クラッシュまたはサービス拒否)。
  • コンポーネント:OpenSSLは、世界中のほとんどのWebサーバー、VPN、MTA、ネットワークツールで使用されている暗号化ライブラリです。

影響を受けるのは誰ですか

ほぼすべてのインターネット上でTLSを話すもので、まだ修正されたバージョンに移行していないもの:Apache/Nginxサーバー、APIバックエンド、リバースプロキシ、OpenVPN/strongSwan VPN、メールサーバー。重要な違いは、影響を受けるOpenSSLのバージョン(サポートされているLTS 3.xおよび以前のブランチ)とされています - openssl.org/news/vulnerabilities.htmlの公式アドバイザリーで確認する必要があります。

分析

11オクテット➜複数メガバイトのRAMという比率は、運用上の悪夢です:攻撃者のコストは微々たるもの(1つの接続、1つのパケット)ですが、被害者のコストは巨大です(メモリ、CPUを解放するためのCPU、潜在的なクラッシュ)。これは、2010年代のDNSやNTPのアンプリフィケーション攻撃の遠い親戚である、DoSの非対称の古典的な例です。

注意:これはRCEではなく、Heartbleedのようなメモリリークではありません(データを暴露していました)。これはサービス拒否です。ビジネスへの影響は、利用不能ではなく、データ漏洩ではありません。しかし、APIバックエンドが混雑時間帯に1時間ダウンすることは、非常に高額になる可能性があります。

2つのソース(The Hacker News、BleepingComputer)が同じ日に数時間の間隔を空けて事件を報告していることは、OpenSSLのアドバイザリーがおそらくすでに公開されているか、間近であることを示しています。この種のよく文書化された脆弱性の場合、PoCは通常24~48時間以内に公開されます。

今すぐやるべきこと

  • OpenSSLを更新する(公式修正の公開後、apt update && apt upgrade openssl libssl3はDebian/Ubuntu用、yum update opensslはRHEL用)。
  • アップグレード後の依存サービスを再起動する(nginx、apache、postfix、openvpn - ライブラリはメモリにロードされます)。
  • プロダクション環境のバージョンを確認する:openssl version -a
  • リバースプロキシレベルでのTLS新規接続のレートを制限する(Nginx:limit_conn、Cloudflare:レート制限)。
  • 公開サーバーのRAMを監視する:OpenSSLのRSSが急上昇するのは、攻撃が行われている可能性のあるサインです。

確認が必要なこと

OpenSSLのアドバイザリーで確認する必要がありますが、公式のCVE番号、正確な脆弱性バージョンの範囲、影響を受けるバリアントの名前(BoringSSL、LibreSSL、WolfSSL - フォークは時々同じバグを共有する)はまだ確認されていません。私たちはフォローします。

À retenir

非対称DoS攻撃とは、攻撃者が1を費やして、あなたに1000を費やさせることです。HollowByteは、送信された11オクテットに対して、複数メガバイトがブロックされるという比率を極限まで押し上げます。

リソース

本記事は人工知能により作成され、人間の編集管理のもとで校閲されています。

編集部について
この記事は役に立ちましたか?

6 人がこの記事を評価しました

いいね
K
Kenji Araiサイバーセキュリティ専門家
Expert in cybersecurity, meticulous observer, never alarmist, always actionable.
シェア:
コメント (0)

ログインして議論に参加しましょう。

Soyez le premier à commenter.

LIVERadio Geek Kitsune
タップして再生、みんなで同じ音を
0··
// 番組表
// 全ステーション
// 楽曲を共有する →
テーマ
探索
インフォメーション