Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти"	+/–
Сообщение от opennews (??), 04-Июн-26, 15:33
Раскрыта информация об уязвимости "HTTP/2 Bomb", затрагивающей различные реализации протокола HTTP/2 и позволяющей добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах nginx, Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy (CVE-2026-47774) и Cloudflare Pingora в конфигурации по умолчанию... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65616
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в реализациях HTTP/2, приводящая к исчерпанию дос..."	–5 +/–
Сообщение от Аноним (1), 04-Июн-26, 15:33
>добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах Cloudflare Pingora в конфигурации по умолчанию А как же хваленый секуриту раст и его боров чекер?
Ответить | Правка | Наверх | Cообщить модератору

	3. Скрыто модератором	–1 +/–
	Сообщение от User (??), 04-Июн-26, 15:46
	Дело не в расте, а в самой логике HTTP/2, по-сути ошибка (неопределённость) в самом стандарте. PS не фанатик ржавого.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в реализациях HTTP/2, приводящая к исчерпанию дос..."	+/–
	Сообщение от Аноним (5), 04-Июн-26, 15:50
	Тут не просто утечка, а атака. https://github.com/cloudflare/pingora
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	7. Скрыто модератором	–1 +/–
	Сообщение от Аноним (7), 04-Июн-26, 15:54
	Раст никак не защищает от утечек. Только диагностику потерянной памяти более запутанной.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	56. Скрыто модератором	+/–
	Сообщение от Аноним (56), 04-Июн-26, 17:18
	>>добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy >> Идея в том, что запрос может содержать тысячи сжатых заголовков, таких как "Cookie", без прикреплённых данных, каждый из которых в запросе представлен однобайтовой ссылкой в индексе HPACK > А как же хваленый секуриту раст и его боров чекер? Опять злобные растоманы опеннетчикам тайком в штаны навалили? Да что ж такое?! Доколе?!
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–8 +/–
Сообщение от НяшМяш (ok), 04-Июн-26, 15:45
Мертворождённый протокол. Не зря гугл быстро прыгнул делать QUIC/HTTP3.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (5), 04-Июн-26, 15:54
	https://blog.cloudflare.com/quic-death-spiral-fix/
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+3 +/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 15:54
	и QUIC/HTTP3 юзерам тоже не нужен, UX на гигабайтных гугловых жс-помойках вроде ютуба от этого никак не изменится
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	12. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (12), 04-Июн-26, 15:57
	А можно TCP/HTTP3 ?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	23. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (23), 04-Июн-26, 16:02
	Можно. Тебе нужно, ты и делай
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Ilya Indigo (ok), 04-Июн-26, 16:17
	Вот только без HTTP2 (вам же нужно мультиплексирование, иначе зачем вам тогда HTTP3) ваш HTTP3 физически работать НЕ может! Сам HTTP3 НЕ может без HTTP2 сообщать клиенту что он есть! Вот такой прекрасный протокол!
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Stanislavvv (ok), 04-Июн-26, 15:48
Тут логическая ошибка — требуется выделять память под заголовки, которых тупо дохера и без лимита. Раст такое не ловит. А если таки будет ловить просто компилятором без иишки — постараюсь на него перейти. UPD: странный глюк сайта — я нажимал ответить на коммент, а не что-то там.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+2 +/–
	Сообщение от Аноним (12), 04-Июн-26, 16:01
	Нужен новый язык, обнаруживающий выход за пределы доступной процессу памяти.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Смузихеб забывший пароль (?), 04-Июн-26, 17:07
	наверняка что-то подобное есть в том же яблочном Obj-C целое событие имелось, которое система "дёргала" когда свободной ОЗУ оставалось мало, чтобы процессы выкинули все не нужные на текущий момент данные из памяти для её освобождения
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+1 +/–
	Сообщение от Аноним (42), 04-Июн-26, 16:29
	> Раст такое не ловит. Ну началось...
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

16. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Doom (??), 04-Июн-26, 15:59
Вполне нормальное логичное развитие. Даже with-security-in-mind сходу ограничить число заголовков мало кому получится в своем продукте при реализации нового протокола.
Ответить | Правка | Наверх | Cообщить модератору

18. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Аноним (18), 04-Июн-26, 16:00
а caddy чего?
Ответить | Правка | Наверх | Cообщить модератору

	22. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (5), 04-Июн-26, 16:02
	Незаметен: https://www.netcraft.com/blog/march-2026-web-server-survey
	Ответить | Правка | Наверх | Cообщить модератору

19. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Аноним (19), 04-Июн-26, 16:01
За исключением крупняка из топ-500, HTTP/2 и тем более QUIC, абсолютно не нужны. Даже более - из-за чрезмерного усложнения протоколов остальному интернету сильно вредны (security + возрастание энтропии посредством бесполезного подогрева вселенной)
Ответить | Правка | Наверх | Cообщить модератору

	24. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (18), 04-Июн-26, 16:05
	> посредством бесполезного подогрева вселенной а если фотоны пролетят мимо Земли, то они подогреют вселенную очень полезно, ага
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:11
	ты забываешь про АЭС, а через 20 лет будет готов управляемый термояд
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–1 +/–
	Сообщение от Аноним (18), 04-Июн-26, 16:16
	хахаха, этой мантре уже лет 40, собственно, энергия звезд она одна, панелькой солнечной ловить фотоны свежие или в недрах планеты находить тяжелые элементы, которые остатки прошлых звезд, значения не имеет. управляемый термояд, ну мб, тогда энергия водорода, который еще собрать надо, или не надо, можно подождать пока сам в звезду завернется.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 16:19
	> значения не имеет имеет, попробуй подумать
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–1 +/–
	Сообщение от Аноним (18), 04-Июн-26, 17:01
	энергия вселенной есть константа, закон сохранения энергии есть база, в контексте "бессмысленого обогрева" вселенной значения что и как вы в этой вселенной будете делать не имеет абсолютно никакого, поскольку любое действие именно подогревом вселенной и является.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от 12yoexpert (ok), 04-Июн-26, 18:17
	теперь посмотри на E=mc^2 и попробуй ещё раз
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (7), 04-Июн-26, 16:21
	Ну как бы токомак уже запустили на 20 минут, пару лет назад рекорд был полторы минуты.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	43. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:54
	А вас не смущает что и токомак и ядерный реактор выдают не электричество а тепло? Я намекаю что и то и другое не шибко практичное, и надо было не тратить 80% усилий на допил ядерного реактора до токомака а заниматся научными изысканиями в другую сторону.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (7), 04-Июн-26, 16:58
	В Cloverfield уже обыграли, к чему это приводит. :>
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Смузихеб забывший пароль (?), 04-Июн-26, 17:18
	дело даже не в тепле, а в том, как ту энергию конкретно с термояда снимать одним из вариантов ещё советских времён был МГД-генератор, там плазма стенок не касалась но КПД "так себе" Температура плазмы такова, что вполне испарит поверхность теплообменника прежде, чем тот успеет прогреться А нейтронное излучение не позволяет длительно снимать даже фотонное излучение, т.к оптика мутнеет, а камера д.б герметичной - т.е просто дырку через которую идёт свет не сделать. Конструкции в общем становятся радиоактивными от нейтронов. Многие - охрупчиваются. А ведь обещали полную радиационную безопасность "ввиду отсутствия применения изотопов". Только подумать, сколько за последние десятилетия "учёные" и "академики" с умным видом на этой хрени грантов и финансирования распилили
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	58. Скрыто модератором	+/–
	Сообщение от Аноним (5), 04-Июн-26, 17:30
	>на этой хрени грантов и финансирования распилили Опа-на турбопатриот себе в штаны накомментировал, ну-ка сколько распилили ? https://ru.wikipedia.org/wiki/Т-15_(реактор)
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (18), 04-Июн-26, 16:55
	и? то что они там плазму удержали не значит что эффект был, а сколько времени пройдет прежде чем начнут их штамповать на конвеере, да и с учетом дегобализации начнут ли?
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	60. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (7), 04-Июн-26, 17:33
	Урана на 200 лет остаётся, нефти на 50. Если энергия может быть получена из более доступных ингредиентов, исследовать такую возможность имеет смысл.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (18), 04-Июн-26, 17:52
	> нефти на 50 хоть видосики на ютубе поглядите, эту сказку придумали еще до того как построили первую тэц, вообще конечно, речь решла о доступной нефте, той которую сразу можно в бочки фасовать и продовать, а той что надо бурить и качать, а еще очищать и бурить очень глубоко. > Урана на 200 ой сомнительно, на 200 лет, а скорее на 1200 хватит того что сейчас в боеголовках уже добытый и обогащенный. но вообще то есть торий, его дофига, и он дешевле и безопаснее, но почемуто никому не нужен, китайцы даже предпочитают покупать нефть, новые технологичеые аэс на тории, зачем. есть гелий-3 которого дофига на Луне, но зачем, летать строить, проще венесуэлу обнести вобщем, глусти не говорите, энергии на Земле навалом, было бы желание взять, но его нет, а вот устроить очередную войнушку есть, так и живем
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (7), 04-Июн-26, 18:03
	Ща бы ютубу верить. Наиболее доступные ресурсы давно исчерпаны, уже пришло время менее доступных. А, значит, дорогих. На 1200 хватит того, что сейчас в бочках и пещерах в виде отработки хранится, но это уже дороже. А торий значительно дороже обойдётся. Да и с U‑232 работать придётся.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (63), 04-Июн-26, 17:54
	Тут у каждого девиз "после нас хоть потоп"
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

	66. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (18), 04-Июн-26, 18:04
	а что в этом удивительного? мир продолжает катиться в ад, одни там за меньшинства, другие за скрепы, адекваты вдруг стали исчезающим видом.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–1 +/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:17
	Он уже лет 60 как будет готов через 20 лет :)
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	32. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (32), 04-Июн-26, 16:12
	о, местная икспертиза подъехала
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	36. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+1 +/–
	Сообщение от Аноним (18), 04-Июн-26, 16:18
	ну хоть тут можно говорить что вздумается, пока еще
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:22
	HTTP/2 и тем более QUIC очень нужен тем кто как гугл берёт деньги за якобы показ рекламы. С ними всегда можно сказать: тут юзер пробегал мимо, мы ему вашу рекламу показали, мамой клянёмся - вот же UDP отправили! А спрашивал юзер или у него банерорезалка всё порезала - не важно, ведь мы ему заранее всё самое нужное теперь отправить можем! Кто то в гугле на этом не одну яхту себе купил.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

30. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	–1 +/–
Сообщение от BratishkaErik (ok), 04-Июн-26, 16:11
https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb > Credits: > * Quang Luong for discovering the exploit. He'll be presenting his techniques at the upcoming Real World AI Security conference at Stanford in June. > * Jun Rong and Duc Phan for confirming the attack on other web servers. Нашли с помощью Codex.
Ответить | Правка | Наверх | Cообщить модератору

41. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от Аноним (41), 04-Июн-26, 16:24
Надо было останавливаться на HTTP/1.0.
Ответить | Правка | Наверх | Cообщить модератору

	45. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним83 (?), 04-Июн-26, 16:56
	1.0 неудобен, там connection: close всегда по стандарту.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Annonymous (?), 04-Июн-26, 17:27
	>Надо было останавливаться на HTTP/1.0. 1.1 же + websocket, с которым однако как-то больше всё на совести самих использующих. webpush ещё надо запретить ))
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

49. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
Сообщение от жявамэн (ok), 04-Июн-26, 17:02
ну что caddy как обычно лучший веб сервер
Ответить | Правка | Наверх | Cообщить модератору

	64. "Атака на реализации HTTP/2, приводящая к исчерпанию доступно..."	+/–
	Сообщение от Аноним (18), 04-Июн-26, 17:55
	300 мегабайт на соединение в дефолтном конфиге, ну такое себе, 100 соединений и прощай 30гб дорогущей озу.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема