O autor descreve uma vulnerabilidade de negação de serviço (DoS) no HTTP/2 relacionada ao processamento de cabeçalhos compactados (HPACK) e mecanismos de controle de fluxo. O problema central é que cabeçalhos especialmente criados podem forçar o servidor a consumir memória excessiva durante o processamento, mesmo quando a quantidade de dados recebidos é muito pequena. Isso afeta servidores amplamente utilizados como nginx, Apache, IIS e Envoy.

O ataque combina duas técnicas: uma "bomba" de compressão de cabeçalho e manter a conexão aberta. Primeiro, o servidor é forçado a alocar grandes quantidades de memória enquanto analisa os cabeçalhos e, em seguida, essa memória não é liberada devido ao comportamento de controle de fluxo. Como resultado, mesmo um único cliente pode esgotar os recursos do servidor e causar indisponibilidade do serviço com tráfego mínimo.

📎 Artigo: https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb

⚙️ PoC: https://github.com/califio/publications/tree/main/MADBugs/http2-bomb

Bomba HTTP/2: um Ataque DoS Oculto via HPACK e Controle de Fluxo