大工网安告[2026020]

一、 情况分析

HTTP/2（HTTP/2协议）是HTTP协议的第二个主要版本，由互联网工程任务组（IETF）于2015年正式发布。该协议通过多路复用、头部压缩（HPACK）和服务器推送等机制，显著提升了Web通信效率。HPACK是HTTP/2的核心压缩算法，通过静态表和动态表对请求头和响应头进行索引压缩，可平均减少约30%的头部大小。HTTP/2流控制机制允许接收方通过WINDOW_UPDATE帧动态通告可用窗口大小，从而实现对数据流量的精细化控制。目前，全球绝大多数主流Web服务器、反向代理和边缘代理均已支持HTTP/2协议。

近日，监测到官方修复HTTP/2 Bomb远程拒绝服务漏洞(CVE-2026-49975)，该漏洞源于HTTP/2头压缩（HPACK）和流控制机制的组合性设计缺陷。攻击者利用HPACK压缩炸弹技术，将一个字节的请求数据在服务器端放大为数千倍的头部条目内存分配，同时通过通告零字节的流控制窗口使服务器永远无法释放已分配内存， 最终导致服务器内存被快速耗尽并陷入拒绝服务状态。具体而言，攻击者可在100Mbps连接条件下，在约10至20秒内耗尽服务器约32GB内存，Apache httpd和Envoy是受影响最严重的服务器。由于该攻击利用的是HTTP/2协议层面的特性，传统基于请求体积和数量阈值的防御机制无法识别此类攻击。目前该漏洞PoC和技术细节已公开。

威胁类型：拒绝服务。

技术类型：不受控的资源消耗。

危害描述：攻击者可利用该漏洞，无需身份验证，通过网络直接发起攻击，造成目标服务器瘫痪、业务不可用，影响正常Web访问与服务交付。

二、 影响版本

Nginx < 1.29.8

Apache httpd mod_http2 < 2.0.41

Apache httpd <= 2.4.67

Microsoft IIS（含Windows Server 2025）

Envoy <= 1.37.2

Cloudflare Pingora <= 0.8.0

三、 处置建议

修复解决方案（含漏洞补丁）：

① Nginx用户：升级至Nginx 1.29.8或更高版本，该版本引入了max_headers指令，默认限制为1000个请求头，可有效阻止该攻击。

② Apache httpd用户：升级至mod_http2 v2.0.41或更高版本，该版本在LimitRequestFields指令下增加了对Cookie头部的完整计数和限制，可有效阻断Cookie爆炸变种攻击。

③ Microsoft IIS、Envoy和Cloudflare Pingora用户：截至本通告发布时，官方尚未发布补丁。请密切关注各厂商安全公告，在补丁可用后立即部署更新。

通用建议：

1.在HTTP/2终止点同时配置"最大解码头部大小"和"最大头部数量"两项独立限制。

2.对停滞流设置严格的生命周期上限，不受WINDOW_UPDATE活动影响。

3.通过cgroups或ulimit为工作进程设置严格的内存限制。