Vulnerabilidad HollowByte en OpenSSL permite DoS con 11 bytes

OpenSSL Explained in Simple Terms | Web Hosting Geeks' Blog

OpenSSL, la biblioteca de cifrado utilizada por la mayoría de servidores web, presenta una vulnerabilidad de denegación de servicio titulada HollowByte. Un atacante remoto sin autenticación puede provocar la caída del servicio enviando un paquete de solo 11 bytes que obliga al servidor a reservar memoria de hasta 131 KB antes de la autenticación TLS. El agotamiento de memoria y la fragmentación hacen que el proceso sea asesinado o quede colgado, afectando a C/I/A al provocar pérdida de disponibilidad y posible exposición indirecta de datos al detener procesos críticos.

Productos afectados

Fabricante Producto Componente Versiones afectadas Plataformas/SO
The OpenSSL Project OpenSSL Biblioteca TLS < 4.0.1 (incluye 3.0.21, 3.4.6, 3.5.7, 3.6.3) Multiplataforma
Apache Software Foundation Apache HTTP Server mod_ssl 2.4.x con OpenSSL vulnerable Multiplataforma
NGINX, Inc. NGINX Manejo TLS Cualquier versión vinculada a OpenSSL vulnerable Multiplataforma
Node.js Node.js Dependencias OpenSSL Todas las versiones que usen OpenSSL < 4.0.1 Multiplataforma
Python Software Foundation Python Módulo ssl 3.0.x a 3.11.x con OpenSSL < 4.0.1 Multiplataforma
PHP PHP Extensión OpenSSL Versiones que usen OpenSSL < 4.0.1 Multiplataforma
Oracle Corporation MySQL Cliente/servidor 8.0.x con OpenSSL < 4.0.1 Multiplataforma
PostgreSQL PostgreSQL libpq 13+ con OpenSSL < 4.0.1 Multiplataforma

Solución

Actualizar a OpenSSL 4.0.1 o a las versiones de retroceso 3.6.3, 3.5.7, 3.4.6 o 3.0.21.

Recomendaciones

Aplicar la actualización lo antes posible y reiniciar los servicios afectados. Monitorear el consumo de memoria en servidores TLS para detectar aumentos inusuales de RSS.

Referencias