Admin
Администратор
Исследователи в области кибербезопасности обнаружили критическую уязвимость, которая затрагивает основные веб-серверы, включая NGINX, Apache, Microsoft IIS, Envoy и Cloudflare Pingora.
Уязвимость, получившая название HTTP/2 Bomb, использует комбинацию двух известных техник: компрессионной бомбы и атаки Slowloris.
HTTP/2 Bomb эксплуатирует уязвимость в HPACK — алгоритме сжатия заголовков HTTP/2. Один байт данных может привести к выделению тысяч заголовков на сервере, что вызывает перегрузку памяти. Атака Slowloris позволяет злоумышленнику удерживать соединения открытыми, не давая серверу освободить ресурсы. В результате даже домашний компьютер с подключением 100 Мбит/с может вывести сервер из строя за считанные секунды. Для защиты рекомендуется обновить NGINX до версии 1.29.8+ или отключить HTTP/2. Apache HTTPD требует обновления до mod_http2 v2.0.41. Для Microsoft IIS, Envoy и Cloudflare Pingora патчи пока недоступны.
