Стежити 
Нововиявлена уразливість відмови в обслуговуванні, відзначена як CVE-2026-49975, демонструє, як давно відомі слабкі місця HTTP/2 можуть бути об’єднані в ефективну сучасну атаку. SecurityWeek повідомляє, що дослідники з Calif продемонстрували експлойт, названий HTTP/2 Bomb, який здатен відключати великі веб-сервери за секунди, поєднуючи компресійну бомбу зі стилем тримання Slowloris, що заважає серверу звільняти пам’ять.
За даними звіту, ця атака може потенційно вплинути на понад 880 000 вебсайтів, що підтримують HTTP/2 та працюють на стандартних конфігураціях NGINX, Apache HTTP(Web) Server, Microsoft IIS, Envoy або Cloudflare Pingora. Calif також зазначає, що атаку можна запустити з домашнього комп’ютера на з’єднанні 100 Мбіт/с і все ще робити уразливі сервери недоступними за секунди.
Аналіз CVE-2026-49975
SecurityWeek пояснює, що атака не заснована на одній новій уразливості, а на ланцюгу відомих технік відмови в обслуговуванні. Перший етап базується на HPACK Bomb, відмічений як CVE-2016-6581, що зловживає стисненням заголовків HTTP/2, так що дуже маленькі повідомлення перетворюються на надзвичайно великі структури, які споживають пам’ять на сервері-призначенні. У статті зазначено, що ця техніка була продемонстрована проти Apache HTTPD минулого року з коефіцієнтом посилення 4,000x, а Apache вирішив цю проблему у версії 2.4.64 як CVE-2025-53020.
Другий етап використовує CVE-2016-8740 та CVE-2016-1546, два питання стилю Slowloris у HTTP/2, пов’язані з кадрами продовження та маніпульованими вікнами управління потоком. Як описано SecurityWeek, зловмисники можуть рекламувати вікно управління потоком на нуль байтів, що заважає серверу відправити відповідь, а потім скинути тайм-аут відправки, так що розподіл пам’яті залишається закріпленим замість того, щоб бути звільненим.
Що робить цей варіант примітним, так це те, що, згідно з поясненням Calif, цитованим SecurityWeek, посилення не виникає від великого розкодуваного значення заголовка. Замість цього воно походить від обліку для кожного запису, яке сервер виділяє навколо майже порожніх заголовків, що означає, що традиційні обмеження розміру декодування можуть не зупинити атаку, оскільки майже немає, що розкодувати. У звіті також йдеться, що Calif виявив обхід для серверів, що обмежують кількість полів заголовка, та випустив код доказу концепції, щоб продемонструвати атаку.
Пом’якшення CVE-2026-49975
SecurityWeek повідомляє, що NGINX вирішив цю помилку в квітні, а Apache випустив виправлення в кінці травня та призначив номер CVE-2026-49975. На момент звітування, Microsoft IIS, Envoy та Cloudflare Pingora ще не були виправлені.
З практичної точки зору захисту, найбільш очевидним короткостроковим пріоритетом є виявлення інтернет-систем, що використовують стандартні конфігурації HTTP/2, та перевірка того, чи вони працюють з виправленим програмним забезпеченням. Оскільки стаття не публікує конкретних IOC або глибокої телеметрії виявлення, найбільш реалістичний підхід полягає у зосередженні на відкритих HTTP/2-сервісах, швидких стрибках пам’яті та раптовій нестабільності сервісу, що відповідає вичерпанню пам’яті. Той останній момент є захисним здогадом на основі описаної поведінки атаки у звіті SecurityWeek.
FAQ
Що таке CVE-2026-49975 та як вона працює?
CVE-2026-49975 – це призначений Apache ідентифікатор для ланцюга атаки відмови в обслуговуванні, що поєднує компресійну бомбу на базі HPACK зі стилем затримки HTTP/2 Slowloris. Результат – швидке вичерпання пам’яті, яке може зробити уразливі сервери недоступними за секунди.
Коли CVE-2026-49975 вперше була виявлена?
У статті SecurityWeek не надано приватної дати виявлення. Вона говорить, що експлойт був названий HTTP/2 Bomb, виявлений за допомогою Codex від OpenAI, і що NGINX виправив проблему у квітні, тоді як Apache випустив виправлення наприкінці травня.
Який вплив CVE-2026-49975 на системи?
Основний вплив – це відмова в обслуговуванні. SecurityWeek говорить, що експлойт може вичерпати пам’ять сервера та відключити великі веб-сервери за секунди, навіть коли атака запущена з відносно скромного домашнього інтернет-з’єднання.
Чи все ще CVE-2026-49975 може мене вразити у 2026 році?
Так. Системи можуть все ще бути уразливими у 2026 році, якщо вони працюють на уразливих стандартних конфігураціях HTTP/2, особливо на продуктах, які ще не були виправлені на момент звіту, включаючи Microsoft IIS, Envoy та Cloudflare Pingora.
Як я можу захистити себе від CVE-2026-49975?
Застосуйте доступні виправлення від постачальника, перевірте, чи ваш веб-стек використовує стандартні налаштування HTTP/2, і пріоритезуйте перевірку серверів, що працюють на зовнішніх інтернет-з’єднаннях. Виходячи з опису поведінки атаки в SecurityWeek, актуально переглянути аномальне споживання пам’яті та різке погіршення роботи сервісу як розумний тимчасовий захисний крок.
