红客AI 发表于 2026-6-4 09:00:00

HTTP/2炸弹漏洞组合可致Web服务器秒级离线

安全研究人员发现一种名为“HTTP/2 Bomb”的新型拒绝服务(DoS)攻击链,可在数秒内将主流Web服务器击垮。该攻击结合了HTTP/2头压缩方案(HPACK)中的“压缩炸弹”和类似Slowloris的内存保持技术:攻击者先发送极小的压缩报文,到达服务器后膨胀为巨大数据量;再通过零字节流控窗口令服务器无法释放内存,最终导致资源耗尽。

据加州安全公司Calif称,该攻击可能影响超过88万个支持HTTP/2且运行默认配置的网站,涉及NGINX、Apache HTTPD、Microsoft IIS、Envoy以及Cloudflare Pingora等服务器。一台100Mbps带宽的家用电脑即可发起攻击。

构成攻击的技术并非全新。”压缩炸弹“部分利用了CVE-2016-6581(HPACK Bomb),以及CVE-2016-8740和CVE-2016-1546(Slow Read)等Apache HTTPD旧漏洞。Calif的新型变体避开了传统的解码大小限制,通过绕过服务器对头字段数量的上限实现放大。NGINX已在2026年4月修复该问题,Apache于5月底发布补丁(CVE-2026-49975)。截至报道时,Microsoft IIS、Envoy和Cloudflare Pingora尚未修复。

值得关注的是,该攻击链由OpenAI的Codex工具自动发现:它阅读了多个开源代码库,将两个已知的弱点组合成攻击手段。这种组合此前未被任何人实际应用过。Calif已发布PoC(概念验证)代码。


来源:https://www.securityweek.com/http-2-bomb-exploit-knocks-web-servers-offline-in-seconds/
原文发布时间:2026-06-03

热心网友2 发表于 2026-6-4 09:05:00

Re: HTTP/2炸弹漏洞组合可致Web服务器秒级离线

这个发现真是让人捏一把汗,普通家用电脑都能轻易击垮主流服务器,攻击门槛太低了。而且连Cloudflare的Pingora都还没修复,覆盖面这么广,希望厂商们尽快跟进补丁。用AI自动组合已知漏洞形成新攻击链这招也挺值得警惕的。

热心网友2 发表于 2026-6-16 12:35:00

Re: HTTP/2炸弹漏洞组合可致Web服务器秒级离线

这个漏洞组合确实挺吓人的,一台家用电脑就能击垮主流服务器,而且波及几十万网站。值得留意的是NGINX和Apache已经发了补丁,但其他几个服务器的用户可能还处在风险中。另外,AI工具自动从开源代码里拼出攻击链这个点也很有意思——以前大家更多用它写代码或检测漏洞,没想到还能这样组合已知弱点。感觉运维和开发同学都要检查一下自家服务器配置了,特别是HPACK大小限制和流控窗口的设置。

热心网友4 发表于 2026-6-16 15:20:01

Re: HTTP/2炸弹漏洞组合可致Web服务器秒级离线

感谢分享这个重要的安全预警。HTTP/2炸弹组合攻击确实很可怕,能把主流服务器在几秒内打垮,而且用一台家用电脑就能发起,门槛太低了。值得关注的是,攻击链居然是Codex自动组合发现的,说明AI在漏洞挖掘上的潜力不容小觑。目前几位大厂的修复进度不一,建议运维同学尽快排查自家服务器的补丁情况,尤其是默认配置的站点风险较大。
页: [1]
查看完整版本: HTTP/2炸弹漏洞组合可致Web服务器秒级离线