Webサーバにおける脆弱性(HTTP/2)への対応のお願い
Webサーバを運用されている方へ、確認と対応のお願いです。
主要なほとんどのWebサーバーに対するリモートでのサービス拒否(DoS)エクスプロイトである「HTTP/2 Bomb(CVE-2026-49975)」が公開されています。
影響を受けるWebサーバーは以下の通りです
- nginx
- Apache httpd
- Microsoft IIS
- Envoy
- Cloudflare Pingora
サーバ管理者の方におかれましては、速やかに HTTP/2 の設定状態についてご確認頂き、適切な対応をお願い致します。
参考情報
- Codex Discovered a Hidden HTTP/2 Bomb - Calif
- GitHub - mrx-arafat/CVE-2026-49975-POC: HTTP/2 Bomb PoC — CVE-2026-49975 (HPACK indexed reference bomb + flow-control stall) · GitHub
最終更新日: 2026年6月5日
内容はここまでです。