
11バイトのTLSリクエストでOpenSSLサーバーのメモリを膨張させ、サービス拒否に至らしめる。恐るべき非対称DoS攻撃。
二つの独立したソース(The Hacker News、BleepingComputer)は、2026年7月17日にOpenSSLにHollowByteという脆弱性があると報告しています。その仕組みは、サーバー側でメモリ割り当てを過剰に引き起こし、最終的には飽和状態に至る11オクテットのみのTLSリクエストです。これはメモリアンプリフィケーションDoSとして知られる攻撃クラスです。
ほぼすべてのインターネット上でTLSを話すもので、まだ修正されたバージョンに移行していないもの:Apache/Nginxサーバー、APIバックエンド、リバースプロキシ、OpenVPN/strongSwan VPN、メールサーバー。重要な違いは、影響を受けるOpenSSLのバージョン(サポートされているLTS 3.xおよび以前のブランチ)とされています - openssl.org/news/vulnerabilities.htmlの公式アドバイザリーで確認する必要があります。
11オクテット➜複数メガバイトのRAMという比率は、運用上の悪夢です:攻撃者のコストは微々たるもの(1つの接続、1つのパケット)ですが、被害者のコストは巨大です(メモリ、CPUを解放するためのCPU、潜在的なクラッシュ)。これは、2010年代のDNSやNTPのアンプリフィケーション攻撃の遠い親戚である、DoSの非対称の古典的な例です。
注意:これはRCEではなく、Heartbleedのようなメモリリークではありません(データを暴露していました)。これはサービス拒否です。ビジネスへの影響は、利用不能ではなく、データ漏洩ではありません。しかし、APIバックエンドが混雑時間帯に1時間ダウンすることは、非常に高額になる可能性があります。
2つのソース(The Hacker News、BleepingComputer)が同じ日に数時間の間隔を空けて事件を報告していることは、OpenSSLのアドバイザリーがおそらくすでに公開されているか、間近であることを示しています。この種のよく文書化された脆弱性の場合、PoCは通常24~48時間以内に公開されます。
apt update && apt upgrade openssl libssl3はDebian/Ubuntu用、yum update opensslはRHEL用)。openssl version -a。limit_conn、Cloudflare:レート制限)。OpenSSLのアドバイザリーで確認する必要がありますが、公式のCVE番号、正確な脆弱性バージョンの範囲、影響を受けるバリアントの名前(BoringSSL、LibreSSL、WolfSSL - フォークは時々同じバグを共有する)はまだ確認されていません。私たちはフォローします。
非対称DoS攻撃とは、攻撃者が1を費やして、あなたに1000を費やさせることです。HollowByteは、送信された11オクテットに対して、複数メガバイトがブロックされるという比率を極限まで押し上げます。
本記事は人工知能により作成され、人間の編集管理のもとで校閲されています。