HTTP/2 Bomb 远程拒绝服务漏洞公告(CVE-2026-49975)
近日,业界披露了一个影响广泛的HTTP/2协议实现漏洞,被命名为“HTTP/2 Bomb”。该漏洞源于HTTP/2协议中HPACK压缩机制与流控制机制的组合设计缺陷,允许未经身份验证的远程攻击者以极低的带宽发起攻击,造成目标服务器内存耗尽,进而导致服务完全不可用。
漏洞详情
| 漏洞类型 | CVE-ID | 漏洞级别 | 披露/发现时间 |
|---|---|---|---|
| 拒绝服务 | 严重 | 2026-06-03 |
漏洞影响
CCE的NGINX Ingress控制器插件和Envoy Gateway插件受此漏洞影响。
- 受漏洞影响的开源Ingress NGINX控制器版本范围如下:
- ≤ v1.13.9
- ≤ v1.14.5
CCE服务的NGINX Ingress控制器插件版本5.0.15、6.0.31及以下均受该漏洞影响。CCE NGINX Ingress控制器插件与开源版本的对应关系参见NGINX Ingress控制器插件版本发布记录。
- 受漏洞影响的开源Envoy版本范围如下:
- ≤ 1.37.2
CCE服务的Envoy Gateway插件版本1.0.9及以下均受该漏洞影响。CCE Envoy Gateway插件与开源版本的对应关系参见Envoy Gateway插件版本发布记录。
判断方法
前往集群插件中心,查看已安装NGINX Ingress控制器插件版本和Envoy Gateway插件版本。
- NGINX Ingress控制器插件:若插件版本在5.0.15、6.0.31及以下,则受漏洞影响。 图1 查看已安装NGINX Ingress控制器插件版本
- Envoy Gateway插件:若插件版本在1.0.9及以下,则受漏洞影响。 图2 查看已安装Envoy Gateway插件版本
漏洞消减方案
NGINX Ingress控制器插件
在修复之前,建议您按最小权限原则,只给予受信用户创建及管理Ingress的权限,详情请参见命名空间权限(Kubernetes RBAC授权)。
确认客户真实业务未使用HTTP/2,用户可以通过修改Nginx Ingress控制器插件的ConfigMap配置,关闭HTTP/2,操作步骤如下:
- 登录CCE控制台,前往插件中心,找到已安装NGINX Ingress控制器插件,单击“管理”。
- 单击插件控制器实例的“编辑”按钮。
- 在参数配置中找到“nginx配置参数”,单击“YAML配置”,在JSON中添加"use-http2": "false"配置,单击“下一步”。
- 在插件检查无异常后,单击“确定”提交更新。
Envoy Gateway插件
Envoy Gateway中,下游连接是由ClientTrafficPolicy资源管理的,确认客户真实业务未使用HTTP/2,用户可以通过ClientTrafficPolicy修改配置,关闭HTTP/2,操作步骤如下:
apiVersion: gateway.envoyproxy.io/v1alpha1
kind: ClientTrafficPolicy
metadata:
name: disable-http2
spec:
targetRef:
group: gateway.networking.k8s.io
kind: Gateway
name: my-gateway # 替换为你的网关名称
tls:
alpnProtocols:
- "http/1.1" 复制上述配置,保存到文件如disable-http2.yaml,并在集群中应用即可:
kubectl apply -f disable-http2.yaml
修复完成后,请及时验证业务功能是否正常。非必要场景,请勿对相关服务开放公网访问。
漏洞修复方案
CCE将发布新的NGINX Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录。
CCE将发布新的Envoy Gateway插件修复该漏洞,请留意Envoy Gateway插件版本发布记录。
