Aller au contenu
Kreomnis.Vigie
CVE-2026-49160Élevée7.5

HTTP/2 Bomb côté Windows : deux failles, deux périmètres à ne pas confondre

Publiée le 12/06/2026// Kreomnis
CVSS 3.1
7.5
EPSS : probabilité d'exploitation
-
Source : FIRST.org, modèle EPSS v3
Produits/versions affectés
  • Windows (pile HTTP/2 et HTTP/3, IIS)

Le contexte

L'HTTP/2 Bomb est un déni de service distant qui met à genoux la plupart des grands serveurs web. Côté Microsoft, il porte le numéro CVE-2026-49160 (CVSS 7.5) ; ailleurs (Nginx, Apache httpd, IIS via la pile, Envoy, Cloudflare Pingora), la variante est suivie sous CVE-2026-49975.

L'enjeu de cette fiche est avant tout d'éviter une confusion de périmètre : ce sont deux entrées distinctes pour une même classe d'attaque, et la mitigation d'un DoS ne se gère pas comme le traitement d'une RCE. À publier en parallèle du sujet Nginx (CVE-2026-49975).

La mécanique

L'attaque combine deux comportements connus du protocole HTTP/2 :

  • une bombe de compression (peu d'octets envoyés, énormément de données décompressées côté serveur),
  • un maintien façon Slowloris qui empêche le serveur de libérer la mémoire.

Résultat : épuisement mémoire en quelques secondes. Les chercheurs ont montré qu'on pouvait consommer ~32 Go en une dizaine de secondes sur un déploiement Envoy vulnérable. Ce n'est pas une nouvelle classe de bug, mais une combinaison de comportements HTTP/2 connus séparément depuis des années.

Le correctif Microsoft

Le correctif ajoute un réglage registre MaxHeadersCount permettant de limiter le nombre d'en-têtes acceptés dans les requêtes HTTP/2 et HTTP/3. C'est le levier à connaître si le patch doit être différé. Côté Nginx, le bug a été corrigé en 1.29.8 via une limite max_headers.

Remédiation

  1. Appliquer le correctif du Patch Tuesday de juin 2026 (CVE-2026-49160) sur les hôtes Windows servant du HTTP/2 / HTTP/3.
  2. Mitigation registre si le patch est différé : positionner MaxHeadersCount pour plafonner le nombre d'en-têtes.
  3. Ne pas confondre les périmètres :
    • CVE-2026-49160 = DoS Windows, mitigation par plafonnement d'en-têtes ;
    • CVE-2026-49975 = même classe sur Nginx (≥ 1.29.8), Apache, Envoy, Pingora : traiter chaque serveur selon son propre avis.
  4. En frontal : un WAF / reverse proxy à jour peut absorber une partie des requêtes abusives, mais ne remplace pas le patch.

Ce qu'il faut retenir

Deux HTTP/2 Bomb, deux périmètres. La tentation est de cocher « patché » sur un serveur et d'oublier les autres briques de la chaîne (frontal, proxy, mesh). Cartographiez tout ce qui parle HTTP/2 avant de clore.

Pour les RSSI et équipes plateforme :

  • Patch Windows (CVE-2026-49160) + réglage MaxHeadersCount en mitigation.

  • Inventoriez vos terminaisons HTTP/2 / HTTP/3 (IIS, Nginx, Apache, Envoy, Pingora) et appliquez l'avis propre à chacune (CVE-2026-49975 ailleurs).

  • Un DoS reste un DoS : pas d'exécution de code, mais une disponibilité qui tombe en secondes. À traiter selon vos exigences de résilience.

  • Kreomnis

Références

#microsoft#http2#dos#iis#patch-tuesday