Alert GCSA-26103 - Vulnerabilita' in HTTP/2 (Bomb Attack)

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** Alert ID: GCSA-26103 Data: 4 Giugno 2026 Titolo: Vulnerabilita' in HTTP/2 (Bomb Attack) ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' (CVE-2026-49975) nel protocollo HTTP/2, che potrebbe consentire ad un aggressore di generare attacchi di tipo Denial of Service. Note: La PoC e' già pubblicamente disponibile, la vulnerabilita' è classificata ad alto rischio di sfruttamento. :: Software interessato I software dei web server piu' popolari (inclusi NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora), con una configurazione di default del protocollo HTTP/2, risultano affetti da questa vulnerabilita'. :: Impatto Denial of Service :: Soluzioni Applicare le mitigazioni come da istruzioni dei rispettivi vendor. :: Riferimenti https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb Cyber Security News: https://cybersecuritynews.com/http-2-bomb-remote-dos-exploit/ Mitre's CVE ID http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-49975 GARR CERT Newsletter subscribe/unsubscribe: https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert -----BEGIN PGP SIGNATURE----- iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaiFvsQAKCRDBnEyTZRJg QnjVAJ4m1iI/NMJzdDxOGrvLTROmaVsMUgCdHTGzuUm91GVqizTt/JVCImkE9QY= =mEB7 -----END PGP SIGNATURE-----