VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

HTTP/2 Bomb: новая уязвимость позволяет удалённый DoS на NGINX, Apache, IIS, Envoy и Cloudflare

HTTP/2 Bomb: новая уязвимость позволяет удалённый DoS на NGINX, Apache, IIS, Envoy и Cloudflare

Коллеги, хочу обратить внимание: в сфере кибербезопасности обнаружена уязвимость HTTP/2 (HTTP/2 Bomb), позволяющая удалённый DoS основных веб‑серверов.

- Исследователи (Calif) показали, что атака сочетает «бомбу» для HPACK и удержание нулевого окна потока, что приводит к многократным аллокациям на сервере.
- Уязвимы NGINX, Apache HTTPD, Microsoft IIS, Envoy и Cloudflare Pingora; один клиент может быстро потребить десятки гигабайт памяти.
- Митигции: NGINX — обновить до 1.29.8+ или отключить HTTP/2; Apache — модуль mod_http2 v2.0.41 или отключить HTTP/2; для IIS, Envoy и Cloudflare патчей на момент публикации нет.

Почему это важно: атака требует небольшой трафика и способна за секунды вывести сервис из строя.

Что Вы планируете предпринять?

#кибербезопасность #HTTP2 #DoS #NGINX

Последние комментарии

Комментариев пока нет.