OpenSSL เผยช่องโหว่ HollowByte ทำให้เซิร์ฟเวอร์หน่วยความจำค้าง 131KB

ที่มาภาพ: The Hacker News

Security-อ่าน 7 นาทีThe Hacker News

OpenSSL เผยช่องโหว่ HollowByte ทำให้เซิร์ฟเวอร์หน่วยความจำค้าง 131KB

⚡ สรุป 30 วิ

ช่องโหว่ HollowByte ของ OpenSSL สามารถจองหน่วยความจำสูงสุด 131 KB ด้วยคำขอ TLS เพียง 11 ไบต์ ทำให้เซิร์ฟเวอร์ต้องรีสตาร์ทเพื่อคืนทรัพยากร ระบบไม่มี CVE…

Lead: การค้นพบช่องโหว่ใหม่ในไลบรารี OpenSSL ที่ชื่อว่า HollowByte สามารถทำให้เซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดตจัดสรรหน่วยความจำสูงสุดถึง 131 KB โดยไม่มีข้อมูลจริงเข้ามา ส่งผลให้กระบวนการต้องรีสตาร์ทเพื่อคืนทรัพยากรนี้ รายงานโดยทีม Red Team ของ Okta** และได้รับการแก้ไขในรุ่นที่ปล่อยเมื่อเดือนมิถุนายน แต่ไม่มี CVE หรือคำอธิบายการเปลี่ยนแปลงใด ๆ ระบุไว้

Overview

ช่องโหว่ HollowByte เกิดจากการส่งข้อความ TLS ที่มีขนาดเพียง 11 bytes ไปยังเซิร์ฟเวอร์ที่ใช้ไลบรารี OpenSSL เวอร์ชันก่อนหน้าที่ยังไม่ได้รับแพตช์ ระบบจะทำการจองหน่วยความจำเพื่อรอข้อมูลเพิ่มเติม ซึ่งคาดว่าจะมาถึงต่อไป แต่จริง ๆ แล้วไม่มีข้อมูลใดส่งกลับมา ทำให้หน่วยความจำนั้นถูกยึดไว้จนกระบวนการต้องหยุดทำงานใหม่

ตามที่ทีม Red Team ของ Okta รายงาน การทดสอบบนระบบที่ใช้ glibc แสดงว่า หน่วยความจำที่ถูกจองจะไม่คืนค่าโดยอัตโนมัติ จนกว่าจะมีการรีสตาร์ทกระบวนการของเซิร์ฟเวอร์ นี่เป็นรูปแบบของการโจมตีแบบ Denial‑of‑Service (DoS) ที่ใช้ทรัพยากรระบบเป็นเป้าหมาย

OpenSSL ได้ปล่อยอัปเดตเพื่อแก้ไขช่องโหว่นี้ในเดือนมิถุนายน 2026 อย่างไรก็ตาม การเผยแพร่ไม่มีหมายเลข CVE หรือบันทึกการเปลี่ยนแปลง (changelog) ที่ชัดเจน ทำให้ผู้ดูแลระบบต้องตรวจสอบเวอร์ชันของไลบรารีด้วยตนเองเพื่อยืนยันว่ามีการรับแพตช์หรือไม่

Technical Details

โครงสร้างของโปรโตคอล TLS มีขั้นตอนหลายขั้นตอนสำหรับการจัดการข้อความและการทำงานร่วมกันระหว่างไคลเอนต์กับเซิร์ฟเวอร์ ในกรณีของ HollowByte การส่งคำขอขนาด 11 bytes ทำให้โมดูลรับข้อมูลของ OpenSSL คาดการณ์ว่าต้องมีส่วนต่อขยายของข้อความที่ยาวกว่า แต่เมื่อไม่มีข้อมูลเพิ่มเติม ระบบจะจัดสรรหน่วยความจำในระดับบัฟเฟอร์เพื่อรอการตอบสนอง

บนระบบ glibc ที่ Okta ทดสอบ พบว่า หน่วยความจำที่จองไว้สูงสุดอยู่ที่ประมาณ 131 KB ต่อการเชื่อมต่อหนึ่งครั้ง หากผู้โจมตีทำการส่งคำขอนี้หลาย ๆ ครั้งพร้อมกัน จะทำให้หน่วยความจำของเซิร์ฟเวอร์เต็มเร็วเกินกว่าที่ระบบจะจัดสรรได้ ปัจจัยนี้ทำให้บริการที่พึ่งพา OpenSSL ต้องเผชิญกับความล่มโดยไม่ต้องเจาะจงที่ช่องโหว่อื่น ๆ

แม้ว่าการโจมตีนี้ไม่ได้ทำให้ผู้ใช้สามารถรันโค้ดบนเซิร์ฟเวอร์ได้ แต่การบังคับให้ระบบเสียทรัพยากรเป็นวิธีการง่ายและมีประสิทธิภาพสูงสำหรับการทำลายบริการ (service disruption) ซึ่งอาจส่งผลต่อการดำเนินธุรกิจขององค์กรที่พึ่งพา API หรือเว็บแอปพลิเคชันที่ใช้ TLS อย่างต่อเนื่อง

Disclosure & Patch

OpenSSL ได้รวมแพตช์แก้ไข HollowByte ไว้ในรุ่นปล่อยเดือนมิถุนายน 2026 แต่การไม่มีหมายเลข CVE ทำให้ช่องโหว่นี้ไม่ถูกบันทึกในฐานข้อมูลความปลอดภัยสาธารณะตามมาตรฐานทั่วไป การแจ้งเตือนจาก Okta จึงเป็นแหล่งข้อมูลหลักที่ผู้ดูแลระบบต้องอ้างอิง

ทีม Red Team ของ Okta รายงานรายละเอียดของช่องโหว่ต่อ OpenSSL อย่างเป็นทางการ และตั้งชื่อให้เป็น HollowByte เพื่อให้ชุมชนสามารถอ้างอิงได้ง่าย แม้ว่าการเปิดเผยจะไม่มีคำแถลงอย่างเป็นทางการจาก OpenSSL แต่เอกสารแพตช์ที่รวมอยู่ในรุ่นใหม่บ่งบอกว่าปัญหาได้รับการแก้ไขแล้ว

การขาด CVE และ changelog ทำให้ผู้ใช้บางส่วนอาจยังคงรันเวอร์ชันที่อ่อนแอโดยไม่รู้ตัว จึงเป็นความท้าทายต่อกระบวนการจัดการช่องโหว่ (vulnerability management) ขององค์กรที่พึ่งพาการตรวจสอบ CVE เป็นหลัก

Impact on Services

เซิร์ฟเวอร์หลายประเภทที่ใช้ OpenSSL เช่น เว็บเซิร์ฟเวอร์, เซิร์ฟเวอร์อีเมล, ระบบ VPN และ API gateway มีความเสี่ยงต่อการถูกทำให้หน่วยความจำเต็มโดยคำขอ 11 bytes เพียงไม่กี่รอบ การสูญเสียหน่วยความจำจนต้องรีสตาร์ทกระบวนการอาจทำให้บริการหยุดชะงักเป็นช่วงเวลานาน

สำหรับองค์กรที่มีปริมาณการเชื่อมต่อสูงหรือรับคำขอจากภายนอกอย่างต่อเนื่อง ความเสี่ยงของการโจมตีแบบ HollowByte จะเพิ่มขึ้นตามสเกล ผู้ใช้ควรตรวจสอบว่าระบบได้อัปเดตเป็นเวอร์ชัน OpenSSL ที่รวมแพตช์แล้ว หรือหากยังไม่สามารถอัปเดตได้ ควรพิจารณาใช้มาตรการจำกัดจำนวนคำขอจากไคลเอนต์เดียวกัน (rate‑limiting) เพื่อลดโอกาสโจมตี

แม้ว่าการแก้ไขจะเป็นเพียงขั้นตอนทางซอฟต์แวร์ การรับรู้และตอบสนองต่อช่องโหว่นี้อย่างทันท่วงทียังคงเป็นส่วนสำคัญของการรักษาความพร้อมใช้งาน (availability) ของระบบดิจิทัลในยุคที่บริการออนไลน์เป็นหัวใจหลักของธุรกิจ

Mitigation Recommendations

  • ตรวจสอบเวอร์ชัน OpenSSL ที่กำลังรันบนเซิร์ฟเวอร์ทุกเครื่อง และอัปเดตเป็นรุ่นที่ปล่อยหลังเดือนมิถุนายน 2026 หากยังใช้เวอร์ชันเก่าอยู่
  • ใช้ระบบจัดการคอนฟิกูเรชันเพื่อบังคับให้กระบวนการบริการรีสตาร์ทอัตโนมัติเมื่อพบว่าหน่วยความจำใช้งานสูงผิดปกติ
  • ตั้งค่า rate‑limiting หรือ connection throttling บนระดับแอปพลิเคชันหรือโหลดบาลานเซอร์ เพื่อจำกัดจำนวนคำขอ TLS ขนาดเล็กจากไคลเอนต์เดียวกันในช่วงเวลาสั้น ๆ

การทำตามขั้นตอนเหล่านี้จะช่วยลดความเสี่ยงของการถูกโจมตีด้วย HollowByte และรักษาความต่อเนื่องของบริการให้คงที่

Summary

ช่องโหว่ HollowByte ของ OpenSSL สามารถใช้คำขอ TLS ขนาด 11 bytes ทำให้เซิร์ฟเวอร์จองหน่วยความจำสูงสุดถึง 131 KB จนต้องรีสตาร์ทเพื่อคืนค่า การแก้ไขถูกเผยแพร่ในเดือนมิถุนายน 2026 โดยไม่มี CVE หรือ changelog ที่ชัดเจน ผู้ดูแลระบบควรอัปเดตไลบรารีและใช้มาตรการจำกัดคำขอเพื่อป้องกันผลกระทบต่อบริการ.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
OpenSSL HollowByte Flaw Could Freeze Server Memory with 11-Byte TLS Requests
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
18 กรกฎาคม 2569 เวลา 03:20

Related

บทความที่เกี่ยวข้อง

Microsoft เตือน AI จะทำให้วัน Patch Tuesday แพทช์เพิ่มขึ้นและซับซ้อนยิ่งกว่าเดิมSecurity
12 กรกฎาคม 2569 เวลา 08:30

Microsoft เตือน AI จะทำให้วัน Patch Tuesday แพทช์เพิ่มขึ้นและซับซ้อนยิ่งกว่าเดิม

Microsoft เตือนว่าการใช้ AI จะเพิ่มจำนวนและความซับซ้อนของแพทช์ในวัน Patch Tuesday มากกว่าเดิม บริษัทกำลังนำระบบสแกนหลายโมเดล MDASH…

The Register6 นาที
การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่นSecurity
18 กรกฎาคม 2569 เวลา 09:00

การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่น

Nichirei Group ยอมรับว่าระบบคอมพิวเตอร์ถูกแฮ็กโดย ransomware ทำให้การจัดส่งอาหารแช่แข็งและโลจิสติกหยุดชะงัก. KFC…

The Register7 นาที
รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัยSecurity
18 กรกฎาคม 2569 เวลา 07:30

รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัย

ACCC บล็อกเราเตอร์ SamKnows SK‑WB8 จำนวนประมาณ 4,000 เครื่องจากโครงการ MBA โดยอ้างว่าเครื่องหมดอายุ แม้ว่ายังทำงานได้…

TechRadar6 นาที
สหราชอาณาจักรกำหนดเวลาใช้โซเชียลมีเดียสำหรับวัยรุ่น 16‑17 ปี ตั้งแต่เที่ยงคืนถึง 06:00 น.Security
17 กรกฎาคม 2569 เวลา 21:00

สหราชอาณาจักรกำหนดเวลาใช้โซเชียลมีเดียสำหรับวัยรุ่น 16‑17 ปี ตั้งแต่เที่ยงคืนถึง 06:00 น.

รัฐบาลอังกฤษกำหนดเวลาจำกัดการใช้โซเชียลมีเดียสำหรับวัยรุ่นอายุ 16‑17 ปี ตั้งแต่เที่ยงคืนถึง 06:00 น. มาตรการนี้เป็นส่วนหนึ่งของ Online Safety Act…

Mashable Tech5 นาที
คัดลอกลิงก์แล้ว!