New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare
Mis à jour :
HTTP/2 Bomb : Une nouvelle menace par déni de service
Une nouvelle vulnérabilité de type déni de service (DoS) a été découverte, affectant les serveurs web majeurs (NGINX, Apache, IIS, Envoy et Cloudflare). Cette attaque combine deux techniques : une variante de “bombe à compression” ciblant HPACK (le mécanisme de compression des en-têtes HTTP/2) et une méthode de maintien de connexion inspirée de Slowloris.
Points clés :
- Fonctionnement : Contrairement aux anciennes attaques par amplification de taille d’en-tête, cette méthode sature la mémoire du serveur via la gestion administrative des en-têtes (bookkeeping) plutôt que par le volume décodé.
- Impact : L’attaque permet à un seul client de saturer rapidement les ressources mémoire (jusqu’à 32 Go en 20 secondes pour certains serveurs) et de bloquer le serveur, rendant celui-ci inaccessible en quelques secondes.
- Problématique : Le protocole HTTP/2 permet aux clients de maintenir des connexions ouvertes indéfiniment tout en conservant les allocations mémoire, rendant les protections actuelles inefficaces.
Vulnérabilités associées :
- CVE-2016-6581 (HPACK Bomb)
- CVE-2025-53020 (Épuisement mémoire Apache)
- CVE-2016-8740 et CVE-2016-1546 (Anciennes failles HTTP/2)
Recommandations :
- NGINX : Mettre à jour vers la version 1.29.8+ (introduisant la directive
max_headers) ou désactiver HTTP/2 (http2 off) si la mise à jour est impossible. - Apache HTTPD : Mettre à jour vers
mod_http2 v2.0.41ou restreindre les protocoles àhttp/1.1. - IIS, Envoy, Cloudflare Pingora : Aucun correctif disponible à ce jour ; une surveillance accrue des ressources est conseillée.