漏洞概述 | |||
漏洞名称 | HTTP/2 Bomb 远程拒绝服务漏洞 | ||
漏洞编号 | QVD-2026-30962,CVE-2026-49975 | ||
公开时间 | 2026-06-02 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 9.8 |
威胁类型 | 拒绝服务 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可利用该漏洞,无需身份验证,通过网络直接发起攻击,造成目标服务器瘫痪、业务不可用,影响正常 Web 访问与服务交付。 | |||
01 漏洞详情
影响组件
HTTP/2(HTTP/2协议)是 HTTP 协议的第二个主要版本,由互联网工程任务组(IETF)于2015年正式发布。该协议通过多路复用、头部压缩(HPACK)和服务器推送等机制,显著提升了 Web 通信效率。HPACK 是 HTTP/2 的核心压缩算法,通过静态表和动态表对请求头和响应头进行索引压缩,可平均减少约30%的头部大小。HTTP/2 流控制机制允许接收方通过 WINDOW_UPDATE 帧动态通告可用窗口大小,从而实现对数据流量的精细化控制。目前,全球绝大多数主流 Web 服务器、反向代理和边缘代理均已支持 HTTP/2 协议。
漏洞描述
近日,奇安信CERT监测到官方修复HTTP/2 Bomb 远程拒绝服务漏洞(CVE-2026-49975),该漏洞源于 HTTP/2 头压缩(HPACK)和流控制机制的组合性设计缺陷。攻击者利用 HPACK 压缩炸弹技术,将一个字节的请求数据在服务器端放大为数千倍的头部条目内存分配,同时通过通告零字节的流控制窗口使服务器永远无法释放已分配内存,最终导致服务器内存被快速耗尽并陷入拒绝服务状态。具体而言,攻击者可在100Mbps连接条件下,在约10至20秒内耗尽服务器约32GB内存,Apache httpd 和 Envoy 是受影响最严重的服务器。由于该攻击利用的是 HTTP/2 协议层面的特性,传统基于请求体积和数量阈值的防御机制无法识别此类攻击。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
Nginx < 1.29.8
Apache httpd mod_http2 < 2.0.41
Apache httpd <= 2.4.67
Microsoft IIS(含 Windows Server 2025)
Envoy <= 1.37.2
Cloudflare Pingora <= 0.8.0
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现针对 Nginx 的 HTTP/2 Bomb(HPACK Bomb + Window Stall)单连接拒绝服务攻击,截图如下:
04 处置建议
安全更新
①Nginx 用户:升级至 Nginx 1.29.8 或更高版本,该版本引入了 max_headers 指令,默认限制为1000个请求头,可有效阻止该攻击。
②Apache httpd 用户:升级至 mod_http2 v2.0.41 或更高版本,该版本在 LimitRequestFields 指令下增加了对 Cookie 头部的完整计数和限制,可有效阻断 Cookie 爆炸变种攻击。
③Microsoft IIS、Envoy 和 Cloudflare Pingora 用户:截至本通告发布时,官方尚未发布补丁。请密切关注各厂商安全公告,在补丁可用后立即部署更新。
通用建议:
1.在 HTTP/2 终止点同时配置"最大解码头部大小"和"最大头部数量"两项独立限制。
2.对停滞流设置严格的生命周期上限,不受 WINDOW_UPDATE 活动影响。
3.通过 cgroups 或 ulimit 为工作进程设置严格的内存限制。
临时缓解措施:
1.禁用 HTTP/2 协议:如业务环境允许,通过配置将服务回退至 HTTP/1.1 协议。
2.部署反向代理/CDN:在受影响设施前部署支持严格头部数量限制的中间网关或 CDN。
05 参考资料
[1]https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb
[2]https://github.com/califio/publications/tree/main/MADBugs/http2-bomb
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
