Falha no OpenSSL pode causar exaustão de memória em servidores
Uma nova vulnerabilidade no OpenSSL, chamada HollowByte, foi identificada e pode causar a alocação de até 131 KB de memória por conexão em servidores que não foram atualizados. Essa falha, que não recebeu um CVE ou um aviso oficial, foi descoberta pela equipe de Red Team da Okta, que relatou que a memória alocada não é liberada até que o processo seja reiniciado. O problema ocorre durante o handshake do TLS, onde o OpenSSL aceita o tamanho da mensagem sem verificar se ela realmente chega, resultando em um ataque de exaustão de conexão. Em testes realizados pela Okta, servidores com 1 GB de RAM foram mortos por falta de memória, enquanto um servidor de 16 GB teve 25% de sua memória ocupada sem atingir o limite de conexões. Embora a OpenSSL tenha corrigido a falha nas versões 4.0.1, 3.6.3, 3.5.7, 3.4.6 e 3.0.21, a falta de um aviso formal e de um CVE levanta preocupações sobre a visibilidade e a resposta a essa vulnerabilidade. A OpenSSL classificou a falha como um ‘bug ou endurecimento’, o que significa que não a considerou uma vulnerabilidade crítica, apesar dos riscos associados à exaustão de memória.
