https://cyberveille.ch/tags/cve-2025-53020/ Recent content in CVE-2025-53020 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sat, 06 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-06-http-2-bomb-exploit-dos-distant-decouvert-par-l-ia-codex-affectant-nginx-apache-iis-envoy/ Sat, 06 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-06-http-2-bomb-exploit-dos-distant-decouvert-par-l-ia-codex-affectant-nginx-apache-iis-envoy/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Publié le 2 juin 2026 sur le blog Calif (blog.calif.io), cet article présente la divulgation publique d&rsquo;un exploit de <strong>déni de service distant</strong> baptisé <strong>HTTP/2 Bomb</strong>, découvert par l&rsquo;IA <strong>Codex</strong> de OpenAI. La découverte a été réalisée par Quang Luong, avec confirmation par Jun Rong et Duc Phan.</p> <h2 id="-nature-de-lattaque">🎯 Nature de l&rsquo;attaque</h2> <p>L&rsquo;exploit chaîne deux techniques connues depuis une décennie :</p> <ul> <li><strong>HPACK Indexed Reference Bomb</strong> : insertion d&rsquo;un header dans la table dynamique HPACK (RFC 7541), puis émission de milliers de références indexées d&rsquo;un seul octet. Chaque octet sur le réseau provoque une allocation mémoire côté serveur allant de ~70 octets (nginx, IIS, Pingora) à ~4 000 octets (Apache httpd, Envoy).</li> <li><strong>HTTP/2 Window Stall</strong> : annonce d&rsquo;une fenêtre de contrôle de flux à zéro octet, empêchant le serveur de libérer la mémoire allouée, avec envoi de trames <code>WINDOW_UPDATE</code> d&rsquo;un octet pour maintenir la connexion ouverte indéfiniment.</li> </ul> <p>La nouveauté réside dans la source de l&rsquo;amplification : contrairement aux bombes classiques qui stockent une grande valeur, ici le header est quasi vide et l&rsquo;amplification provient du <strong>bookkeeping par entrée</strong> alloué par le serveur, contournant les limites de taille de header décodé.</p>