📰 Source : BleepingComputer, publié le 17 juillet 2026, par Bill Toulas. L’advisory technique a été publié par l’équipe Red Team d’Okta en juin 2026.

🔍 Contexte Une vulnérabilité de type déni de service (DoS), nommée HollowByte, a été découverte dans la bibliothèque OpenSSL. Aucun identifiant CVE n’a été attribué ; l’équipe OpenSSL l’a traitée comme un « hardening fix » et a silencieusement intégré le correctif dans plusieurs versions.

⚙️ Mécanisme technique Lors d’un handshake TLS, chaque message commence par un en-tête de 4 octets dont 3 octets déclarent la taille du corps du message. Les versions vulnérables d’OpenSSL allouent la mémoire déclarée avant de recevoir ou valider le payload. Un attaquant envoie un paquet de 11 octets avec un en-tête déclarant une taille de message bien supérieure :

  • Le serveur alloue la mémoire correspondante
  • Le thread worker se bloque en attente de données qui n’arrivent jamais
  • En répétant l’opération sur de multiples connexions, la mémoire du serveur est progressivement saturée

La bibliothèque glibc aggrave l’effet : elle ne restitue pas immédiatement les petites et moyennes allocations au système d’exploitation après libération. Des vagues de connexions avec des tailles déclarées aléatoires fragmentent le tas (heap), faisant croître le Resident Set Size (RSS) de manière permanente, même après déconnexion de l’attaquant. Le seul remède est un redémarrage du processus.

🎯 Impact

  • Environnements à faible capacité : épuisement total de la mémoire
  • Serveurs haute capacité : perte pouvant atteindre 25 % de la mémoire avec un trafic d’attaque restant sous les seuils d’alerte
  • Logiciels affectés : NGINX, Apache, Node.js, Python, Ruby, PHP, MySQL, PostgreSQL, et la majorité des distributions Linux

🛠️ Correctifs Le correctif est disponible dans les versions suivantes d’OpenSSL (le buffer ne croît désormais qu’à réception effective des données) :

  • OpenSSL 4.0.1
  • 3.6.3, 3.5.7, 3.4.6, 3.0.21

📌 Type d’article : Analyse technique et alerte de sécurité. But principal : informer les équipes techniques de l’existence de la vulnérabilité HollowByte, de son fonctionnement et des versions corrigées d’OpenSSL.

🧠 TTPs et IOCs détectés

TTP

  • T1499.001 — Endpoint Denial of Service: OS Exhaustion Flood (Impact)
  • T1499 — Endpoint Denial of Service (Impact)

🟡 Indice de vérification factuelle : 53/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 10512 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hollowbyte-ddos-flaw-bloats-openssl-server-memory-with-11-byte-payload/