发现了一个名为'HTTP/2炸弹'的关键漏洞,影响包括nginx、Apache、IIS、Envoy和Cloudflare Pingora在内的主要Web服务器。该漏洞利用压缩炸弹和Slowloris式攻击相结合,将小请求放大为巨大的内存消耗,部分服务器可在数秒内瘫痪。该漏洞存在于默认配置中,影响超过88万个网站,不过CDN提供了一定的缓解作用。
背景
HTTP/2是HTTP网络协议的第二个主要版本,被广泛用于网络通信。它包含用于提高性能的头部压缩(HPACK)功能,但这一特性在新发现的攻击中被利用。
- 来源
- Lobsters
- 发布时间
- 2026年6月3日 04:03
- 评分
- 9.0 / 10