预警背景:
近日监测到HTTP/2协议存在远程拒绝服务漏洞(CVE-2026-49975),该漏洞危害等级为高危,POC与EXP已公开,尚未发现在野利用情况。
预警描述:
HTTP/2 是当前主流的 Web 通信协议,广泛应用于各类服务器、代理和边缘设备中。该漏洞源于 HTTP/2 头压缩(HPACK)与流控制机制的组合性设计缺陷。攻击者可利用 HPACK 压缩炸弹技术,将一个字节的数据在服务器端扩展为数千倍的头部条目,同时通过设置零字节窗口大小使内存无法释放,最终导致服务器内存耗尽并瘫痪。攻击者利用该漏洞无需身份验证,可通过网络直接发起,影响 Web 服务正常运行。
风险:
攻击者可利用该漏洞在无权限的情况下,通过网络发起攻击,造成目标服务器内存被快速耗尽,导致服务不可用,影响业务连续性。该漏洞危害等级为高危。
影响范围:
Nginx < 1.29.8
Apache httpd mod_http2 < 2.0.41
Apache httpd <= 2.4.67
Microsoft IIS(含 Windows Server 2025)
Envoy <= 1.37.2
Cloudflare Pingora <= 0.8.0
解决方案:
Nginx 用户应升级至 Nginx 1.29.8 或更高版本,该版本引入了 max_headers 指令,默认限制为1000个请求头,可有效阻止该攻击。
Apache httpd 用户应升级至 mod_http2 v2.0.41 或更高版本,该版本在 LimitRequestFields 指令下增加了对 Cookie 头部的完整计数和限制,可有效阻断 Cookie 爆炸变种攻击。
Microsoft IIS、Envoy 和 Cloudflare Pingora 用户需关注安全公告,官方尚未发布补丁,需在补丁发布后立即进行更新。
临时缓解措施
1. 禁用 HTTP/2 协议:如业务环境允许,通过配置将服务回退至 HTTP/1.1 协议。
2. 部署反向代理/CDN:在受影响设施前部署支持严格头部数量限制的中间网关或 CDN。
