HTTP/2 Bomb: новая уязвимость позволяет удалённый DoS на NGINX, Apache, IIS, Envoy и Cloudflare

Коллеги, хочу обратить внимание: в сфере кибербезопасности обнаружена уязвимость HTTP/2 (HTTP/2 Bomb), позволяющая удалённый DoS основных веб‑серверов.
- Исследователи (Calif) показали, что атака сочетает «бомбу» для HPACK и удержание нулевого окна потока, что приводит к многократным аллокациям на сервере.
- Уязвимы NGINX, Apache HTTPD, Microsoft IIS, Envoy и Cloudflare Pingora; один клиент может быстро потребить десятки гигабайт памяти.
- Митигции: NGINX — обновить до 1.29.8+ или отключить HTTP/2; Apache — модуль mod_http2 v2.0.41 или отключить HTTP/2; для IIS, Envoy и Cloudflare патчей на момент публикации нет.
Почему это важно: атака требует небольшой трафика и способна за секунды вывести сервис из строя.
Что Вы планируете предпринять?
#кибербезопасность #HTTP2 #DoS #NGINX


Последние комментарии
Комментариев пока нет.