【漏洞通告】Apache mod_http2远程拒绝服务漏洞(CVE-2026-49975)
发布时间 2026-06-04一、漏洞概述
Apache HTTP Server是Apache Software Foundation发布的开源Web服务器软件,广泛应用于互联网网站、企业门户、API服务及云平台场景。其支持HTTP/1.1、HTTP/2、TLS、反向代理及模块化扩展,具备高可扩展性与跨平台特性,是全球主流Web基础设施组件之一。
2026年6月4日,7790CNM必发集团安全应急响应中心(VSRC)监测到Apache mod_http2远程拒绝服务漏洞。该漏洞源于HTTP/2协议HPACK头压缩机制与流量控制窗口处理逻辑存在资源管理缺陷,攻击者可通过构造大量Indexed Header引用并结合零窗口INITIAL_WINDOW_SIZE阻塞响应释放,持续占用服务器内存资源。未经身份认证的远程攻击者可利用该漏洞以极低带宽消耗触发大规模内存分配,导致服务性能严重下降、系统进入Swap甚至服务不可用,进而影响业务连续性与可用性。
二、影响范围
mod_http2 < 2.0.41
nginx < 1.29.8
Apache HTTP Server 2.4.x(默认启用 mod_http2 时受影响)
Envoy <= 1.37.2
Microsoft IIS(启用HTTP/2的 Windows Server 2025)
Cloudflare Pingora <= 0.8.0(公开研究验证版本)
三、安全措施
3.1 升级版本
部分受影响组件官方已发布修复补丁或缓解更新,建议用户尽快完成升级。
mod_http2 >= 2.0.41
nginx >= 1.29.8
Apache HTTP Server 用户建议关注后续2.4.x正式安全版本发布情况,并确认已集成 mod_http2 v2.0.41 或以上修复版本。
3.2 临时措施
若暂时无法升级,建议采取以下措施:
禁用HTTP/2协议,仅保留HTTP/1.1
Apache HTTP Server 配置:
Protocols http/1.1
nginx 配置:
http2 off
限制单请求Header字段数量及Cookie字段数量
降低 LimitRequestFieldSize 等 Header 大小限制(仅对 Apache 有效)
在边界 CDN、WAF 或反向代理层启用 Header 数量限制、异常请求过滤及连接清理机制
设置 Worker 进程内存上限(cgroups、ulimit 或容器限制),防止内存占用过高
监控 HTTP/2 异常连接、流控窗口、Worker 内存占用和 Swap 使用情况
对 IIS、Envoy、Cloudflare Pingora 用户:若官方补丁尚未发布,建议临时禁用 HTTP/2,或在前置代理、CDN、WAF 层实施 Header 数量限制、连接超时控制及资源占用限制策略。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb/
https://github.com/califio/publications/tree/main/MADBugs/http2-bomb
京公网安备11010802024551号