Исследователи компании Calif объявили о новой DoS‑атаке HTTP/2 Bomb, которая использует уязвимость в стандартной реализации HTTP/2‑компрессии HPACK и технику Slowloris, позволяя одной машине за 10‑45 секунд занять 30‑64 ГБ памяти на серверах nginx, Apache, Microsoft IIS, Envoy и Cloudflare Pingora. Атака работает даже при небольшом объёме входных данных, потому что небольшие заголовки многократно ссылаются на одну запись в динамической таблице HPACK, а нулевой размер окна потока не даёт серверу освободить память. В nginx проблема исправлена в версии 1.29.8 (параметр max_headers), в Apache mod_http2 2.0.41 (CVE‑2026‑49975); для IIS, Envoy и Pingora патчей пока нет, рекомендуется отключать HTTP/2 или использовать внешние прокси/WAF. (398 симв.)
