HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS

Introduction : HTTP/2 Bomb (CVE-2026-49975) exploite la compression d’en-têtes HTTP/2 et le blocage de réponse pour faire enfler la mémoire du serveur jusqu’à saturation avec seulement quelques kilo-octets, causant un DoS. Sur Envoy, les chercheurs ont mesuré un rapport de plus de 5 000 pour 1 avec 32 Go engloutis en une dizaine de secondes ; Apache craque en moins de vingt secondes, nginx et IIS en moins d’une minute. nginx a corrigé en version 1.29.8 avec une option pour brider les en-têtes, Apache dans mod_http2 2.0.41, mais Microsoft IIS, Envoy et Cloudflare Pingora attendaient encore leur correctif au moment de la divulgation.

https://korben.info/http-2-bomb-une-mini-requete-suffit-pour-faire-tomber-nginx-apache-ou-iis.html