HTTP/2 Bomb 远程拒绝服务漏洞(CVE-2026-47774)
漏洞详情
| 漏洞类型 | CVE-ID | 披露/发现时间 |
|---|---|---|
| HTTP/2 远程拒绝服务 | CVE-2026-47774 | 2026-06-05 |
影响评分
7.5 高危
触发场景
同时满足下列两个条件:
- 受影响版本如下表:
| 版本范围 | 状态 |
|---|---|
| ASM 1.28.2-r2 及以下 | 受影响 |
| ASM 1.18.7-r7 及以下 | 受影响 |
| ASM 1.15.7-r6 及以下 | 受影响 |
| ASM 1.3/1.6/1.8/1.13所有版本 | 受影响 |
- 通过Gateway暴露HTTP/2 或 gRPC 服务到公网
根本原因
在HTTP/2请求处理过程中,cookie头字段会被分片分别缓存,只有在完成请求头大小校验之后才会合并。由于这些缓存的cookie字节并未完全计入有效请求头的大小检查,超大cookie数据可以绕过 max_request_headers_kb 的限制。
另外,oghttp2/quiche 对编码后的 HPACK 字节数施加头块长度限制,而非针对完全解码后的头大小。恶意客户端可以利用这一不对称性,通过使用动态表引用使编码后的表示形式保持较小,同时导致解码后的cookie头值在内存中变得大得多。
当这两种行为结合在一起时,客户端可以迫使Envoy为每个流分配大量的内存。在持续的并发请求下,这会迅速增加进程的内存使用量,最终导致内存溢出(OOM)终止。
流量控制阻塞可进一步延长流的生命周期并推迟每流内存的回收,从而增强攻击的效果。
受影响版本
参考触发场景
补丁修复版本
| 版本范围 |
|---|
| ASM 1.28.2-r3 及以上 |
| ASM 1.18.7-r8 及以上 |
| ASM 1.15.7-r7 及以上 |
规避和消减措施
当前请通过升级Istio-Ingressgateway来消减风险。请注意,如果您使用1.15以下的EOS版本,需升级到1.15及以上版本再执行规避方案。
操作步骤
- 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。在网格详情界面,在左侧导航栏选择“网格配置”,单击“基本信息”页签,确认网格所属集群。
- 登录CCE控制台。进入对应的CCE集群详情界面。
- 在左侧导航栏选择工作负载,命名空间选择istio-system,找到istio-ingressgateway-{网格版本}的工作负载,单击升级。
- 在升级配置页面中,选择容器配置 > 容器信息。
- 在镜像版本字段中,根据网格版本按表4选择目标镜像版本。
表4 网格版本对应的镜像版本规则 网格版本
镜像版本
1.15
1.15.7-r7-20260611204502
1.18
1.18.7-r8-20260611204441
1.28
1.28.2-r3-20260612154216
- 单击升级工作负载。
升级Istio-ingressgateway会造成网关实例滚动重启,可能会造成业务中断,请评估业务影响并选择合适的时间执行。
