
OpenSSL, la biblioteca de cifrado utilizada por la mayoría de servidores web, presenta una vulnerabilidad de denegación de servicio titulada HollowByte. Un atacante remoto sin autenticación puede provocar la caída del servicio enviando un paquete de solo 11 bytes que obliga al servidor a reservar memoria de hasta 131 KB antes de la autenticación TLS. El agotamiento de memoria y la fragmentación hacen que el proceso sea asesinado o quede colgado, afectando a C/I/A al provocar pérdida de disponibilidad y posible exposición indirecta de datos al detener procesos críticos.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| The OpenSSL Project | OpenSSL | Biblioteca TLS | < 4.0.1 (incluye 3.0.21, 3.4.6, 3.5.7, 3.6.3) | Multiplataforma |
| Apache Software Foundation | Apache HTTP Server | mod_ssl | 2.4.x con OpenSSL vulnerable | Multiplataforma |
| NGINX, Inc. | NGINX | Manejo TLS | Cualquier versión vinculada a OpenSSL vulnerable | Multiplataforma |
| Node.js | Node.js | Dependencias OpenSSL | Todas las versiones que usen OpenSSL < 4.0.1 | Multiplataforma |
| Python Software Foundation | Python | Módulo ssl | 3.0.x a 3.11.x con OpenSSL < 4.0.1 | Multiplataforma |
| PHP | PHP | Extensión OpenSSL | Versiones que usen OpenSSL < 4.0.1 | Multiplataforma |
| Oracle Corporation | MySQL | Cliente/servidor | 8.0.x con OpenSSL < 4.0.1 | Multiplataforma |
| PostgreSQL | PostgreSQL | libpq | 13+ con OpenSSL < 4.0.1 | Multiplataforma |
Solución
Actualizar a OpenSSL 4.0.1 o a las versiones de retroceso 3.6.3, 3.5.7, 3.4.6 o 3.0.21.
Recomendaciones
Aplicar la actualización lo antes posible y reiniciar los servicios afectados. Monitorear el consumo de memoria en servidores TLS para detectar aumentos inusuales de RSS.
