Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти"	+/–
Сообщение от opennews (??), 04-Июн-26, 15:33
Раскрыта информация об уязвимости "HTTP/2 Bomb", затрагивающей различные реализации протокола HTTP/2 и позволяющей добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах nginx, Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy (CVE-2026-47774) и Cloudflare Pingora в конфигурации по умолчанию... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65616
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в реализациях HTTP/2, приводящая к исчерпанию дос..."	–4 +/–
Сообщение от Аноним (1), 04-Июн-26, 15:33
>добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах Cloudflare Pingora в конфигурации по умолчанию А как же хваленый секуриту раст и его боров чекер?
Ответить | Правка | Наверх | Cообщить модератору

	3. Скрыто модератором	+/–
	Сообщение от User (??), 04-Июн-26, 15:46
	Дело не в расте, а в самой логике HTTP/2, по-сути ошибка (неопределённость) в самом стандарте. PS не фанатик ржавого.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в реализациях HTTP/2, приводящая к исчерпанию дос..."	+/–
	Сообщение от Аноним (5), 04-Июн-26, 15:50
	Тут не просто утечка, а атака. https://github.com/cloudflare/pingora
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	10. "Уязвимость в реализациях HTTP/2, приводящая к исчерпанию дос..."	–2 +/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 15:55
	какая атака на раст? ты в своём уме?
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимость в реализациях HTTP/2, приводящая к исчерпанию дос..."	+/–
	Сообщение от aname (ok), 04-Июн-26, 16:56
	ОКИСЛЕНИЕ!
	Ответить | Правка | Наверх | Cообщить модератору

	7. Скрыто модератором	–2 +/–
	Сообщение от Аноним (7), 04-Июн-26, 15:54
	Раст никак не защищает от утечек. Только диагностику потерянной памяти более запутанной.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–6 +/–
Сообщение от НяшМяш (ok), 04-Июн-26, 15:45
Мертворождённый протокол. Не зря гугл быстро прыгнул делать QUIC/HTTP3.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (5), 04-Июн-26, 15:54
	https://blog.cloudflare.com/quic-death-spiral-fix/
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+1 +/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 15:54
	и QUIC/HTTP3 юзерам тоже не нужен, UX на гигабайтных гугловых жс-помойках вроде ютуба от этого никак не изменится
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	12. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (12), 04-Июн-26, 15:57
	А можно TCP/HTTP3 ?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	23. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (23), 04-Июн-26, 16:02
	Можно. Тебе нужно, ты и делай
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Ilya Indigo (ok), 04-Июн-26, 16:17
	Вот только без HTTP2 (вам же нужно мультиплексирование, иначе зачем вам тогда HTTP3) ваш HTTP3 физически работать НЕ может! Сам HTTP3 НЕ может без HTTP2 сообщать клиенту что он есть! Вот такой прекрасный протокол!
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Stanislavvv (ok), 04-Июн-26, 15:48
Тут логическая ошибка — требуется выделять память под заголовки, которых тупо дохера и без лимита. Раст такое не ловит. А если таки будет ловить просто компилятором без иишки — постараюсь на него перейти. UPD: странный глюк сайта — я нажимал ответить на коммент, а не что-то там.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+2 +/–
	Сообщение от Аноним (12), 04-Июн-26, 16:01
	Нужен новый язык, обнаруживающий выход за пределы доступной процессу памяти.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (27), 04-Июн-26, 16:09
	ну нет, тогда он будет выходить за пределы здравого смысла, тут как в детской игре надо выбрать чтото одно, живых но пьющих родителей, или любвиобильного отчима
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+1 +/–
	Сообщение от Аноним (42), 04-Июн-26, 16:29
	> Раст такое не ловит. Ну началось...
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от 12yoexpert (ok), 04-Июн-26, 15:53
> для <...> Cloudflare Pingora исправления пока отсутствуют нет, стоп, падажжите оно ведь на раст, зачем там что-то исправлять?
Ответить | Правка | Наверх | Cообщить модератору

	13. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+1 +/–
	Сообщение от Аноним (27), 04-Июн-26, 15:58
	ну вот никто и не исправляет
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:00
	но святотатство ведь налицо
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (27), 04-Июн-26, 16:07
	эм...честное слово не вкурсе о чем вы, значит не на лицо))
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:08
	двоечников уже в интернет выпускают?
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–1 +/–
	Сообщение от Аноним (27), 04-Июн-26, 16:11
	а когда запрешали? не вкурсе о чем вы попрежнему
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:20
	что?
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (27), 04-Июн-26, 17:03
	где?
	Ответить | Правка | Наверх | Cообщить модератору

11. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Аноним (11), 04-Июн-26, 15:57
Оказывается расте тоже на головой думать
Ответить | Правка | Наверх | Cообщить модератору

	15. Скрыто модератором	+/–
	Сообщение от Аноним (27), 04-Июн-26, 15:59
	да ну, нееет, не может быть, он безопастный, там пофиг, на опеннете же твердят, а все кто против луддиты и диды с деменцией
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:01
	веб-какахи + ТМ вместо языка == не лучшее сочетание для умственной деятельности
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

14. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от 12yoexpert (ok), 04-Июн-26, 15:59
> При атаке с потребительского компьютера, имеющего канал связи 100Mbps, для исчерпания 32 ГБ памяти требуется примерно 10 секунд при атаке на сервер с Envoy 1.37.2, 18 секунд - Apache httpd 2.4.67 и 45 секунд - nginx 1.29.7. здесь растоподелка не указана, потому что она на старте выжирает всю память из-за статической линковки и рантайма
Ответить | Правка | Наверх | Cообщить модератору

16. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Doom (??), 04-Июн-26, 15:59
Вполне нормальное логичное развитие. Даже with-security-in-mind сходу ограничить число заголовков мало кому получится в своем продукте при реализации нового протокола.
Ответить | Правка | Наверх | Cообщить модератору

18. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Аноним (27), 04-Июн-26, 16:00
а caddy чего?
Ответить | Правка | Наверх | Cообщить модератору

	22. Скрыто модератором	+/–
	Сообщение от Аноним (5), 04-Июн-26, 16:02
	Незаметен: https://www.netcraft.com/blog/march-2026-web-server-survey
	Ответить | Правка | Наверх | Cообщить модератору

19. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Аноним (19), 04-Июн-26, 16:01
За исключением крупняка из топ-500, HTTP/2 и тем более QUIC, абсолютно не нужны. Даже более - из-за чрезмерного усложнения протоколов остальному интернету сильно вредны (security + возрастание энтропии посредством бесполезного подогрева вселенной)
Ответить | Правка | Наверх | Cообщить модератору

	24. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (27), 04-Июн-26, 16:05
	> посредством бесполезного подогрева вселенной а если фотоны пролетят мимо Земли, то они подогреют вселенную очень полезно, ага
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:11
	ты забываешь про АЭС, а через 20 лет будет готов управляемый термояд
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–1 +/–
	Сообщение от Аноним (27), 04-Июн-26, 16:16
	хахаха, этой мантре уже лет 40, собственно, энергия звезд она одна, панелькой солнечной ловить фотоны свежие или в недрах планеты находить тяжелые элементы, которые остатки прошлых звезд, значения не имеет. управляемый термояд, ну мб, тогда энергия водорода, который еще собрать надо, или не надо, можно подождать пока сам в звезду завернется.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:19
	> значения не имеет имеет, попробуй подумать
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (27), 04-Июн-26, 17:01
	энергия вселенной есть константа, закон сохранения энергии есть база, в контексте "бессмысленого обогрева" вселенной значения что и как вы в этой вселенной будете делать не имеет абсолютно никакого, поскольку любое действие именно подогревом вселенной и является.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (7), 04-Июн-26, 16:21
	Ну как бы токомак уже запустили на 20 минут, пару лет назад рекорд был полторы минуты.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	43. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:54
	А вас не смущает что и токомак и ядерный реактор выдают не электричество а тепло? Я намекаю что и то и другое не шибко практичное, и надо было не тратить 80% усилий на допил ядерного реактора до токомака а заниматся научными изысканиями в другую сторону.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (7), 04-Июн-26, 16:58
	В Cloverfield уже обыграли, к чему это приводит. :>
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (27), 04-Июн-26, 16:55
	и? то что они там плазму удержали не значит что эффект был, а сколько времени пройдет прежде чем начнут их штамповать на конвеере, да и с учетом дегобализации начнут ли?
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	34. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–1 +/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:17
	Он уже лет 60 как будет готов через 20 лет :)
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	32. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (32), 04-Июн-26, 16:12
	о, местная икспертиза подъехала
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	36. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+1 +/–
	Сообщение от Аноним (27), 04-Июн-26, 16:18
	ну хоть тут можно говорить что вздумается, пока еще
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:22
	HTTP/2 и тем более QUIC очень нужен тем кто как гугл берёт деньги за якобы показ рекламы. С ними всегда можно сказать: тут юзер пробегал мимо, мы ему вашу рекламу показали, мамой клянёмся - вот же UDP отправили! А спрашивал юзер или у него банерорезалка всё порезала - не важно, ведь мы ему заранее всё самое нужное теперь отправить можем! Кто то в гугле на этом не одну яхту себе купил.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

30. Скрыто модератором	–1 +/–
Сообщение от BratishkaErik (ok), 04-Июн-26, 16:11
https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb > Credits: > * Quang Luong for discovering the exploit. He'll be presenting his techniques at the upcoming Real World AI Security conference at Stanford in June. > * Jun Rong and Duc Phan for confirming the attack on other web servers. Нашли с помощью Codex.
Ответить | Правка | Наверх | Cообщить модератору

	31. Скрыто модератором	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:12
	ложь
	Ответить | Правка | Наверх | Cообщить модератору

41. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Аноним (41), 04-Июн-26, 16:24
Надо было останавливаться на HTTP/1.0.
Ответить | Правка | Наверх | Cообщить модератору

	45. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:56
	1.0 неудобен, там connection: close всегда по стандарту.
	Ответить | Правка | Наверх | Cообщить модератору

49. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от жявамэн (ok), 04-Июн-26, 17:02
ну что caddy как обычно лучший веб сервер
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема