HTTP/2 Bomb攻擊手法影響主流網頁伺服器，恐遭用於DoS攻擊

資安研究發布平臺Calif指出，這項攻擊是由OpenAI程式開發代理Codex將兩種已知技術串連後發現，作法是結合針對HTTP/2標頭壓縮機制HPACK的壓縮炸彈，以及類似Slowloris的連線占用手法。攻擊者可先利用HPACK索引引用，讓伺服器反覆配置標頭相關記憶體，再透過宣告零位元組的HTTP/2流量控制視窗，讓伺服器無法完成回應並釋放已配置的記憶體。

根據研究測試，一臺具備100Mbps連線的家用電腦，理論上可在數秒內讓易受攻擊的伺服器無法提供服務。以單一用戶端測試來看，Envoy 1.37.2約可在10秒內占用32GB記憶體，放大比例最高約5,700:1；Apache httpd 2.4.67約可在18秒內占用32GB記憶體，放大比例約4,000:1。

漏洞修補方面，Nginx自1.29.8版起加入max_headers指令，預設值為1000；Apache則在mod_http2 v2.0.41修正，相關修補已可從獨立發布的mod_http2套件版本與httpd trunk取得，但尚未納入Apache httpd 2.4.x正式版本。該問題被指定為CVE-2026-49975，Calif文章未列出CVSS風險分數。若無法升級，研究者建議停用HTTP/2。