🔥 この記事の詳細
2026-07-18 更新
B
今週中

OpenSSLのTLSハンドシェイク処理における脆弱性「HollowByte」

脆弱性🌐 英語ソース
🖥️ 製品OpenSSL
📅 2026-07-18📰 hackernews
📌 一言でいうと
OpenSSLのTLSハンドシェイク処理における脆弱性「HollowByte」が報告されました。攻撃者が11バイトの特殊なリクエストを送信することで、サーバー側に最大131KBのメモリを不適切に確保させ、メモリ枯渇によるサービス停止(DoS)を引き起こす可能性があります。OpenSSLは2026年6月に修正版をリリースしていますが、CVE番号や公式アドバイザリが発行されていないため、注意が必要です。
🔍該当判定
  • 自社でOpenSSLを利用したWebサーバーやメールサーバーを直接構築・運用している
  • 利用しているOpenSSLのバージョンが 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21 より古い
  • Linuxサーバー(glibcシステム)上でOpenSSLを動作させている
上記いずれにも該当しない → 静観でOK
該当時の対応
OpenSSLを修正済みバージョン(4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21 以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OpenSSL 「HollowByte」脆弱性への対応について

お疲れさまです。OpenSSLにおけるメモリ枯渇の脆弱性(HollowByte)に関する情報共有です。

■ 概要
TLSハンドシェイクのヘッダー処理において、宣言されたメッセージサイズに基づきメモリを即座に確保する実装の不備により、少量のパケットでサーバーメモリを消費させ、DoS状態に陥らせる脆弱性が報告されました。本件はCVE番号が付与されておらず、サイレント修正されていた点に注意が必要です。

■ 影響範囲
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21 より前のすべてのバージョン

■ 対応手順
1. 利用中のOpenSSLバージョンを確認してください。
2. 以下の修正済みバージョンへのアップデートを適用してください:
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21

■ 参考情報
- Okta Red Team 公開レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] OpenSSL 'HollowByte' Vulnerability Mitigation

Dear IT/Security Team,

We are sharing information regarding a memory exhaustion vulnerability in OpenSSL named 'HollowByte'.

■ Overview
Due to a flaw in how OpenSSL handles TLS handshake headers, an attacker can send a small (11-byte) request that forces the server to allocate up to 131 KB of memory. This can lead to a Denial-of-Service (DoS) condition. Notably, this fix was released silently without a CVE or official advisory.

■ Affected Scope
- All OpenSSL versions prior to 4.0.1, 3.6.3, 3.5.7, 3.4.6, and 3.0.21.

■ Mitigation Steps
1. Identify the OpenSSL version currently in use across your infrastructure.
2. Update to the following fixed versions:
- OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, or 3.0.21.

■ Reference
- Okta Red Team Report

Priority: High
Deadline: Immediate