注册
登录
| 关键词:Envoy, 服务器, Apache HTTPD, HTTP, Nginx, Cloudflare, Pingora, Calif, Web服务器, 内存 | |||||||||||||||
一种名为"HTTP/2 炸弹"的新型远程拒绝服务漏洞被披露,该漏洞针对全球部署最广泛的 Web 服务器(包括 nginx、Apache httpd、Microsoft IIS、Envoy 和 Cloudflare Pingora)的默认 HTTP/2 配置。攻击者仅需家庭宽带连接,就能在数秒内耗尽服务器数十GB内存。 研究员 Quang Luong 使用 Codex 发现了该漏洞,他将两种安全社区已知近十年的技术组合利用:HPACK 压缩炸弹和 Slowloris 式连接保持攻击。该变种的新颖之处不在于基础技术本身,而在于其精确的组合方式以及关键的放大来源。 HTTP/2 炸弹攻击技术原理HPACK(RFC 7541)是 HTTP/2 的有状态头部压缩方案。通信双方各自维护一个动态头部表,发送方可以插入一次头部,后续通过单字节索引引用。接收方必须在每次引用时重建完整头部副本。 根据 Jun Rong 和 Duc Phan 的分析,攻击者先在动态表中植入一个头部,然后在单个请求中发送数千个单字节索引引用。攻击者仅需传输1字节,就能迫使服务器为每个引用分配约70字节(nginx、IIS、Pingora)至4000字节(Apache httpd、Envoy)的内存。 第二个攻击组件利用了 HTTP/2 的流控机制(RFC 9113)。客户端宣告零字节流控窗口,阻止服务器完成响应。通过持续发送1字节的
Quang Luong 表示,Shodan 分析显示超过88万个面向公众的网站支持 HTTP/2 并运行上述服务器之一,不过许多网站通过 CDN 降低了直接暴露风险。 对于限制头部字段数量而非解码大小的服务器(Apache、Envoy),攻击者使用 Envoy 将每个 Cookie 片段追加到缓冲区中,一个4KB的 Cookie 值被引用32768次会产生约3600:1的逻辑放大比,实测单个流的 RSS 放大比可达5700:1。Apache httpd 每次都会重建完整的合并 Cookie 字符串,旧副本直到流清理才释放,即使空 Cookie 也能产生4000:1的放大比。 漏洞修复情况Apache httpd 变种(CVE-2026-49975)已于2026年5月27日修复,Stefan Eissing 当天提交补丁。nginx 在1.29.8版本中修复,新增 相关历史漏洞包括:CVE-2016-6581(原始 HPACK 炸弹)、CVE-2025-53020(Apache httpd 4000:1放大)、CVE-2016-8740 和 CVE-2016-1546。 缓解措施
研究团队认为该漏洞类别反映了RFC 7541的规范缺陷。第7.3节仅将内存风险视为放大比率,并将 PoC脚本、Docker实验环境和各服务器分析报告已发布在Codex GitHub仓库。研究员Quang Luong将于2026年6月在斯坦福举办的"真实世界AI安全"会议上介绍该技术。 参考来源:
| |||||||||||||||
| 本文出处: https://mp.weixin.qq.com/s/IzSP2PZ8ZIgcdShOlDXykw | |||||||||||||||
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
