В SELECTOS устранили критическую DoS-уязвимость CVE-2026-49975 в веб-серверах nginx и Apache. Она позволяла удаленно исчерпать всю память сервера за секунды — без аутентификации, в дефолтной конфигурации при включенных TLS и HTTP/2.
Атака «HTTP/2 Bomb» сочетает HPACK-бомбу (усиление памяти до 5700:1) и блокировку управления потоком: однобайтовый запрос вынуждает сервер выделить гигабайты памяти и не освобождать ее. Помимо nginx и Apache, уязвимость затрагивает Microsoft IIS, Envoy и Pingora.
Исправления доступны начиная с версий пакетов:
-
apache2 — 2.4.67-1~deb12u2+sel1u1;
-
nginx — 1.22.1-9+deb12u7+sel1u1.
Чтобы использовать актуальные версии пакетов, обновите их с помощью этих команд:
-
полное обновление системы
apt update apt upgrade
-
обновление только nginx
apt update apt install nginx
-
обновление только apache2
apt update apt install apache2
ссылка на оригинал статьи https://habr.com/ru/articles/1044126/