B
今週中
OpenSSLのTLSハンドシェイク処理における脆弱性「HollowByte」
📌 一言でいうと
OpenSSLのTLSハンドシェイク処理における脆弱性「HollowByte」が報告されました。攻撃者が11バイトの特殊なリクエストを送信することで、サーバー側に最大131KBのメモリを不適切に確保させ、メモリ枯渇によるサービス停止(DoS)を引き起こす可能性があります。OpenSSLは2026年6月に修正版をリリースしていますが、CVE番号や公式アドバイザリが発行されていないため、注意が必要です。
🔍該当判定
- 自社でOpenSSLを利用したWebサーバーやメールサーバーを直接構築・運用している
- 利用しているOpenSSLのバージョンが 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21 より古い
- Linuxサーバー(glibcシステム)上でOpenSSLを動作させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
OpenSSLを修正済みバージョン(4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21 以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OpenSSL 「HollowByte」脆弱性への対応について
お疲れさまです。OpenSSLにおけるメモリ枯渇の脆弱性(HollowByte)に関する情報共有です。
■ 概要
TLSハンドシェイクのヘッダー処理において、宣言されたメッセージサイズに基づきメモリを即座に確保する実装の不備により、少量のパケットでサーバーメモリを消費させ、DoS状態に陥らせる脆弱性が報告されました。本件はCVE番号が付与されておらず、サイレント修正されていた点に注意が必要です。
■ 影響範囲
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21 より前のすべてのバージョン
■ 対応手順
1. 利用中のOpenSSLバージョンを確認してください。
2. 以下の修正済みバージョンへのアップデートを適用してください:
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21
■ 参考情報
- Okta Red Team 公開レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。OpenSSLにおけるメモリ枯渇の脆弱性(HollowByte)に関する情報共有です。
■ 概要
TLSハンドシェイクのヘッダー処理において、宣言されたメッセージサイズに基づきメモリを即座に確保する実装の不備により、少量のパケットでサーバーメモリを消費させ、DoS状態に陥らせる脆弱性が報告されました。本件はCVE番号が付与されておらず、サイレント修正されていた点に注意が必要です。
■ 影響範囲
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21 より前のすべてのバージョン
■ 対応手順
1. 利用中のOpenSSLバージョンを確認してください。
2. 以下の修正済みバージョンへのアップデートを適用してください:
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21
■ 参考情報
- Okta Red Team 公開レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] OpenSSL 'HollowByte' Vulnerability Mitigation
Dear IT/Security Team,
We are sharing information regarding a memory exhaustion vulnerability in OpenSSL named 'HollowByte'.
■ Overview
Due to a flaw in how OpenSSL handles TLS handshake headers, an attacker can send a small (11-byte) request that forces the server to allocate up to 131 KB of memory. This can lead to a Denial-of-Service (DoS) condition. Notably, this fix was released silently without a CVE or official advisory.
■ Affected Scope
- All OpenSSL versions prior to 4.0.1, 3.6.3, 3.5.7, 3.4.6, and 3.0.21.
■ Mitigation Steps
1. Identify the OpenSSL version currently in use across your infrastructure.
2. Update to the following fixed versions:
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, or 3.0.21.
■ Reference
- Okta Red Team Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a memory exhaustion vulnerability in OpenSSL named 'HollowByte'.
■ Overview
Due to a flaw in how OpenSSL handles TLS handshake headers, an attacker can send a small (11-byte) request that forces the server to allocate up to 131 KB of memory. This can lead to a Denial-of-Service (DoS) condition. Notably, this fix was released silently without a CVE or official advisory.
■ Affected Scope
- All OpenSSL versions prior to 4.0.1, 3.6.3, 3.5.7, 3.4.6, and 3.0.21.
■ Mitigation Steps
1. Identify the OpenSSL version currently in use across your infrastructure.
2. Update to the following fixed versions:
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, or 3.0.21.
■ Reference
- Okta Red Team Report
Priority: High
Deadline: Immediate