HTTP/2 炸弹 — CVE-2026-49975 · 全面披露 · 2026 年 6 月 8 日 最近披露的一种拒绝服务漏洞,被称为 HTTP/2 炸弹(CVE-2026-49975),影响多个 Web 服务器实现。
该 Linux/Unix 主机已安装一个或多个受漏洞影响各种供应商的软件包。
很多应用都是在Linux上的部署历来依赖 Debian 打包的 nginx 版本。 当该漏洞被披露时,已修补的版本(nginx 1.29.8)尚未在Debian Bookworm 或 Trixie 仓库中提供,目前还没有提供解决办法。
CVE-2026-49975,也称为 HTTP/2 炸弹,是针对大多数主流 Web 服务器的远程拒绝服务利用,包括 nginx、Apache httpd、Microsoft IIS、Envoy 和 Cloudflare Pingora。
在每个服务器的默认 HTTP/2 配置中都存在易受攻击的行为。当启用 HTTP/2 时,该问题可能允许远程攻击者消耗过多的服务器资源,从而可能导致服务降级或暂时不可用。
https://www.tenable.com/plugins/nessus/318375