HTTP/2 Bomb : exploit DoS distant découvert par l'IA Codex affectant nginx, Apache, IIS, Envoy
đïž Contexte PubliĂ© le 2 juin 2026 sur le blog Calif (blog.calif.io), cet article prĂ©sente la divulgation publique dâun exploit de dĂ©ni de service distant baptisĂ© HTTP/2 Bomb, dĂ©couvert par lâIA Codex de OpenAI. La dĂ©couverte a Ă©tĂ© rĂ©alisĂ©e par Quang Luong, avec confirmation par Jun Rong et Duc Phan. đŻ Nature de lâattaque Lâexploit chaĂźne deux techniques connues depuis une dĂ©cennie : HPACK Indexed Reference Bomb : insertion dâun header dans la table dynamique HPACK (RFC 7541), puis Ă©mission de milliers de rĂ©fĂ©rences indexĂ©es dâun seul octet. Chaque octet sur le rĂ©seau provoque une allocation mĂ©moire cĂŽtĂ© serveur allant de ~70 octets (nginx, IIS, Pingora) Ă ~4 000 octets (Apache httpd, Envoy). HTTP/2 Window Stall : annonce dâune fenĂȘtre de contrĂŽle de flux Ă zĂ©ro octet, empĂȘchant le serveur de libĂ©rer la mĂ©moire allouĂ©e, avec envoi de trames WINDOW_UPDATE dâun octet pour maintenir la connexion ouverte indĂ©finiment. La nouveautĂ© rĂ©side dans la source de lâamplification : contrairement aux bombes classiques qui stockent une grande valeur, ici le header est quasi vide et lâamplification provient du bookkeeping par entrĂ©e allouĂ© par le serveur, contournant les limites de taille de header dĂ©codĂ©. ...