Une nouvelle vulnérabilité critique nommée HTTP/2 Bomb (CVE-2026-49975) permet de provoquer un déni de service massif sur des serveurs populaires comme nginx, Apache, IIS, Envoy et Cloudflare Pingora. L'attaque repose sur une combinaison habile de deux mécanismes du protocole HTTP/2 : la compression des en-têtes et le blocage artificiel de la réponse côté client. En envoyant une requête de quelques kilo-octets soigneusement conçue, un attaquant peut forcer un serveur à allouer des dizaines de gigaoctets de mémoire en quelques secondes, le rendant inopérant.

Le principe rappelle celui d'une bombe de décompression : une petite entrée déclenche une expansion démesurée en mémoire. En exploitant la référence répétée d’un en-tête unique, le serveur continue d’accumuler des données sans pouvoir les libérer, car la connexion reste ouverte. Des tests ont montré que 32 Go de mémoire pouvaient être consommés en dix secondes sur Envoy, tandis qu’Apache cède en moins de vingt secondes et nginx ou IIS en moins d’une minute.

Les éditeurs ont réagi inégalement. nginx a corrigé la faille dans sa version 1.29.8 avec une option pour limiter les en-têtes, et Apache via mod_http2 2.0.41. En revanche, au moment de la divulgation, Microsoft IIS, Envoy et Cloudflare Pingora n’avaient pas encore publié de correctif. Cette faille souligne les risques liés à l’interaction de mécanismes anciens mais mal combinés, même dans des protocoles largement déployés.