Pesquisadores da Calif publicaram ontem um exploit de negação de serviço (DoS) chamado “HTTP/2 Bomb”. Ele afeta a configuração padrão dos principais servidores web, incluindo nginx, Apache httpd, Microsoft IIS, Envoy e Cloudflare Pingora, conforme artigo no blog da empresa. A falha foi descoberta por Quang Luong com o Codex, e combina duas técnicas conhecidas há uma década: uma bomba de compressão e uma técnica de espera do tipo Slowloris. Um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em segundos.
Segundo os pesquisadores da Calif, o exploit tem como alvo o HPACK, esquema de compressão de cabeçalho do HTTP/2. Cada byte enviado na rede se torna uma alocação completa de cabeçalho no servidor, repetida milhares de vezes em cada requisição. O ataque utiliza uma segunda técnica: uma janela de controle de fluxo de zero byte que impede o servidor de liberar a memória alocada. As amplificações variam conforme o servidor: no Envoy a amplificação alcança 5.700:1 (32 GB em 10 segundos), no Apache httpd é de 4.000:1 (32 GB em 18 segundos), no nginx de 70:1 (32 GB em 45 segundos) e no IIS de 68:1 (64 GB em 45 segundos). Uma busca no Shodan revelou mais de 880 mil sites com HTTP/2 ativo executando um desses servidores.
Correções e mitigações
A Calif informou que divulgou a vulnerabilidade ao nginx em abril, que respondeu importando a diretiva max_headers do freenginx e a lançou na versão 1.29.8 no dia seguinte. A Apache recebeu a divulgação em 27 de maio, e Stefan Eissing corrigiu no mesmo dia, fazendo com que cabeçalhos cookie contassem contra o limite de campos de requisição, com a vulnerabilidade registrada como CVE-2026-49975. A Calif usou os commits públicos das correções do nginx e Apache para identificar que Microsoft IIS, Envoy e Pingora também estavam vulneráveis, e já notificou os mantenedores. A Envoy lançou patches que parecem mitigar o ataque, segundo atualização de 3 de junho de 2026.
Recomendações para administradores
Para nginx, a Calif recomenda atualizar para a versão 1.29.8 ou superior, que adiciona a diretiva max_headers com padrão de 1.000. Se não for possível atualizar, desabilitar HTTP/2 com http2 off;. Para Apache httpd, a correção está no mod_http2 v2.0.41, ainda não disponível em uma versão 2.4.x. Se não for possível atualizar, desabilitar HTTP/2 com Protocols http/1.1. Para Microsoft IIS, Envoy e Cloudflare Pingora, não há patch disponível no momento; administradores devem desabilitar HTTP/2 ou colocar o servidor atrás de algo que imponha um limite rígido de contagem de cabeçalhos por requisição. A Calif recomenda que servidores limitem o número de campos de cabeçalho por requisição (incluindo fragmentos de cookie), independentemente do tamanho total, e limitem o tempo de vida de uma stream travada independentemente da atividade de WINDOW_UPDATE.
