В SELECTOS устранили уязвимость CVE-2026-49975
В SELECTOS устранили критическую DoS-уязвимость CVE-2026-49975 в веб-серверах nginx и Apache. Она позволяла удаленно исчерпать всю память сервера за секунды — без аутентификации, в дефолтной конфигурации при включенных TLS и HTTP/2.
Атака «HTTP/2 Bomb» сочетает HPACK-бомбу (усиление памяти до 5700:1) и блокировку управления потоком: однобайтовый запрос вынуждает сервер выделить гигабайты памяти и не освобождать её. Помимо nginx и Apache, уязвимость затрагивает Microsoft IIS, Envoy и Pingora.
Исправления доступны начиная с версий пакетов:
# полное обновление системы
# обновление только nginx
# обновление только apache2
Атака «HTTP/2 Bomb» сочетает HPACK-бомбу (усиление памяти до 5700:1) и блокировку управления потоком: однобайтовый запрос вынуждает сервер выделить гигабайты памяти и не освобождать её. Помимо nginx и Apache, уязвимость затрагивает Microsoft IIS, Envoy и Pingora.
Исправления доступны начиная с версий пакетов:
- apache2 — 2.4.67-1~deb12u2+sel1u1
- nginx — 1.22.1-9+deb12u7+sel1u1
# полное обновление системы
apt update
apt upgrade# обновление только nginx
apt update
apt install nginx# обновление только apache2
apt update
apt install apache2
0 комментариев
Вставка изображения
Оставить комментарий