Vulnerabilidade HollowByte afeta servidores OpenSSL com DoS
Uma nova vulnerabilidade chamada HollowByte permite que atacantes não autenticados provoquem uma condição de negação de serviço (DoS) em servidores OpenSSL com um payload malicioso de apenas 11 bytes. A equipe do OpenSSL corrigiu silenciosamente a falha e retrocedeu o patch para versões mais antigas. Durante o handshake TLS, versões vulneráveis do OpenSSL alocam memória com base em um cabeçalho de 4 bytes que declara o tamanho da mensagem, sem validar o payload. Isso permite que um atacante envie um cabeçalho que indica um tamanho maior do que o real, fazendo com que o servidor aloque memória desnecessária e bloqueie, aguardando dados que nunca chegam. O ataque pode ser repetido em várias conexões, causando um aumento significativo no uso de memória do servidor. Embora a falha tenha sido corrigida nas versões mais recentes do OpenSSL, a Okta recomenda que as organizações atualizem suas bibliotecas imediatamente, pois a vulnerabilidade pode causar interrupções operacionais e danos à reputação. A HollowByte foi testada em ambientes como NGINX, onde servidores de baixa capacidade podem ser facilmente esgotados de memória. Apesar de ser uma falha de DoS, que é considerada menos severa do que vulnerabilidades que permitem roubo de dados, ainda assim representa um risco significativo para a operação de serviços online.
