جون 2026 کے اوائل میں، کیلیف میں سائبرسیکیوریٹی کے محققین نے (کوڈیکس AI ایجنٹ کا استعمال کرتے ہوئے) HTTP/2 بم حملے کا ایک نیا ورژن دریافت کیا جو 100 Mbps انٹرنیٹ کنکشن والے ایک کلائنٹ ڈیوائس سے بھی کام کرتا ہے۔
حملہ دو مراحل پر مشتمل ہے:
HPACK کمپریشن ہیرا پھیری: HTTP/2 پروٹوکول میں، ہیڈرز کو HPACK ٹیبل کا استعمال کرتے ہوئے کمپریس کیا جاتا ہے۔ حملہ آور تقریباً خالی ہیڈر بھیجتا ہے، لیکن سیکڑوں ہزاروں ہدایات کے ساتھ، فورسز سرور پیک کھولنا اور ایک ہی چھوٹے عنصر کا مسلسل حوالہ دینا۔ یہ میموری کی کھپت میں برفانی تودے کا سبب بنتا ہے۔ سرور.
فلو کنٹرول بلاکنگ: ایک بار میموری بھر جانے کے بعد، حملہ آور فلو کنٹرول ونڈو کا سائز 0 پر سیٹ کرتا ہے۔ یہ سرور کو جواب بھیجنے کو روکنے پر مجبور کرتا ہے، زیر قبضہ میموری کو روکتا ہے، اور متواتر 1 بائٹ کی درخواستوں کے ساتھ کنکشن کو کھلا رکھتا ہے۔
صرف ایک کلائنٹ 10-20 سیکنڈ میں 32–64 GB تک RAM استعمال کر سکتا ہے۔ مختلف HTTP سرورز پر میموری کی کھپت Nginx، IIS اور Pingora کے لیے انڈیکس میں تقریباً 70 بائٹس فی بائٹ سے لے کر اپاچی httpd کے لیے 4000 بائٹس اور ایلچی کے لیے 5700 تک ہوتی ہے۔
تقریباً تمام بڑے HTTP/2 سرور نفاذ ڈیفالٹ کنفیگریشنز میں کمزور ہیں:
NGINX، Apache HTTPD (mod_http2 ماڈیول)، Microsoft IIS، ایلچی، Cloudflare، Pingora
خطرے کو nginx 1.29.8 میں طے کیا گیا ہے (freenginx سے max_headers کی ہدایت کا استعمال کرتے ہوئے، جو پہلے سے طے شدہ طور پر 1000 سے زیادہ ہیڈرز پر کارروائی کرنے کی اجازت نہیں دیتا ہے)، Envoy 1.35.11 اور 1.36.7 (mutable_max_request_headers_kb اور max_http_modchepa) 2.0.41۔ Microsoft IIS اور Cloudflare Pingora کے لیے ابھی تک کوئی اصلاحات نہیں ہیں۔
اینجی ایچ ٹی پی سرور کمزور نہیں ہے کیونکہ اس نے اس قسم کے حملے کے خلاف تحفظ کو ورژن 1.8.0 میں لاگو کیا تھا، جو 2024 میں جاری کیا گیا تھا۔
ماخذ: linux.org.ru
