[TLP:CLEAR] Kritická zranitelnost HTTP/2 Bomb ve webových serverech
nově publikovaná zranitelnost pod názvem HTTP/2 Bomb představuje kritické riziko pro dostupnost většiny nejběžnějších webových serverů. Zranitelnost je oficiálně evidována pod projektem Apache, ve výchozí HTTP/2 konfiguraci však postihuje také servery NGINX, Microsoft IIS, Envoy a Cloudflare Pingora [1]. Stav oprav webových serverů: nginx [1] - 1.29.8 a novější, dočasnou mitigací je úplné vypnutí HTTP/2 pomocí http2 off;. Apache httpd [1] - mod_http2 v2.0.41; dostupná v httpd trunk a standalone vydáních mod_http2 [2], v řadě 2.4.x zatím chybí, dočasnou mitigací je zakázání HTTP/2 pomocí Protocols http/1.1. Envoy [1][3] - 1.35.11, 1.36.7, 1.37.3, 1.38.1 (probíhá validace účinnosti [1]). Microsoft IIS (včetně Microsoft Server 2025), Cloudflare Pingora [1] - aktuálně nejsou k dispozici.
Neautentizovanému vzdálenému útočníkovi je zasíláním speciálně upravených sekvencí HTTP/2 rámců (pro kompresi hlaviček a řízení toku) umožněno zcela vyčerpat systémovou paměť (RAM) cílového webového serveru a vykonat útok DoS. Tento mechanismus funguje na principu kombinace technik „HPACK Indexed Reference Bomb“ a „HTTP/2 Window Stall“ [1][4]. Mechanismy tohoto útoku jsou známy z již dříve publikovaných zranitelností - zneužítí kompresního mechanismus HPACK [5][6] a vyčerpání zdrojů typu Slowloris [7][8]. Detailní informace o zranitelnosti naleznete na [1], PoC (per-server) na [9]. Není-li opravená verze aktuálně k dispozici nebo nemůže-li být ihned nasazena, obecně lze riziko dočasně mitigovat vypnutím HTTP/2, striktním zastropováním počtu hlaviček (včetně jednotlivých částí cookies) nezávisle na jejich celkové velikosti, omezením životnosti pozastavených streamů, nebo nastavením limitů paměti na úrovni procesů (cgroups, ulimit), aby operační systém přetížený proces včas ukončil (OOM-kill) [1].
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H
Více informací:
- CVE-2026-49975 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 27. 5. 2026.
Odkazy
- [1] https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb
- [2] https://github.com/icing/mod_h2/releases
- [3] https://github.com/envoyproxy/envoy/security/advisories/GHSA-22m2-hvr2-xqc8
- [4] https://www.suse.com/security/cve/CVE-2026-49975.html
- [5] https://nvd.nist.gov/vuln/detail/CVE-2016-6581
- [6] https://nvd.nist.gov/vuln/detail/CVE-2025-53020
- [7] https://nvd.nist.gov/vuln/detail/CVE-2016-8740
- [8] https://nvd.nist.gov/vuln/detail/cve-2016-1546
- [9] https://github.com/califio/publications/tree/main/MADBugs/http2-bomb
Za CESNET-CERTS Michaela Ručková dne 4. 6. 2026.
