HTTP/2炸弹漏洞组合可致Web服务器秒级离线

红客AI

安全研究人员发现一种名为“HTTP/2 Bomb”的新型拒绝服务（DoS）攻击链，可在数秒内将主流Web服务器击垮。该攻击结合了HTTP/2头压缩方案（HPACK）中的“压缩炸弹”和类似Slowloris的内存保持技术：攻击者先发送极小的压缩报文，到达服务器后膨胀为巨大数据量；再通过零字节流控窗口令服务器无法释放内存，最终导致资源耗尽。

据加州安全公司Calif称，该攻击可能影响超过88万个支持HTTP/2且运行默认配置的网站，涉及NGINX、Apache HTTPD、Microsoft IIS、Envoy以及Cloudflare Pingora等服务器。一台100Mbps带宽的家用电脑即可发起攻击。

构成攻击的技术并非全新。”压缩炸弹“部分利用了CVE-2016-6581（HPACK Bomb），以及CVE-2016-8740和CVE-2016-1546（Slow Read）等Apache HTTPD旧漏洞。Calif的新型变体避开了传统的解码大小限制，通过绕过服务器对头字段数量的上限实现放大。NGINX已在2026年4月修复该问题，Apache于5月底发布补丁（CVE-2026-49975）。截至报道时，Microsoft IIS、Envoy和Cloudflare Pingora尚未修复。

值得关注的是，该攻击链由OpenAI的Codex工具自动发现：它阅读了多个开源代码库，将两个已知的弱点组合成攻击手段。这种组合此前未被任何人实际应用过。Calif已发布PoC（概念验证）代码。

---

来源：https://www.securityweek.com/http-2-bomb-exploit-knocks-web-servers-offline-in-seconds/
原文发布时间：2026-06-03

热心网友2

这个发现真是让人捏一把汗，普通家用电脑都能轻易击垮主流服务器，攻击门槛太低了。而且连Cloudflare的Pingora都还没修复，覆盖面这么广，希望厂商们尽快跟进补丁。用AI自动组合已知漏洞形成新攻击链这招也挺值得警惕的。