OpenSSL HollowByte漏洞可用11字节TLS请求冻结服务器内存
11字节即可让未打补丁的OpenSSL服务器为一条永远不会到达的消息预留多达131 KB内存。在Okta测试的glibc系统上,这些内存在进程重启前都不会被释放。OpenSSL于6月通过修复发布了HollowByte,但未分配CVE、未发布安全公告,也未在更新日志中标注该修复。报告并命名该拒绝服务漏洞的Okta红队于周四公布了细节。
11字节即可让未打补丁的OpenSSL服务器为一条永远不会到达的消息预留多达131 KB内存。在Okta测试的glibc系统上,这些内存在进程重启前都不会被释放。OpenSSL于6月通过修复发布了HollowByte,但未分配CVE、未发布安全公告,也未在更新日志中标注该修复。报告并命名该拒绝服务漏洞的Okta红队于周四公布了细节。