CVE-2026-49975: Tek Bir Bağlantıyla nginx ve Apache'yi Çökerten HTTP/2 Bombası
3 Haziran 2026’da araştırmacı Quang Luong, “HTTP/2 Bombası” adını verdiği uzaktan servis dışı bırakma açığını yayımladı. Açık, sıradan bir ev internet bağlantısından on gigabayt sunucu belleğini saniyeler içinde tüketebiliyor. Güvenlik açığı aynı gün oss-security listesine de iletildi ve nginx, Apache httpd, Microsoft IIS, Envoy ile Cloudflare Pingora’yı varsayılan HTTP/2 yapılandırmalarında etkiliyor. Apache httpd kolu için CVE-2026-49975 tanımlayıcısı atandı. Saldırı nasıl çalışıyor Açık, her biri yaklaşık on yıldır ayrı ayrı bilinen iki tekniği, bu sunuculara karşı daha önce hiç birleştirilmemiş bir şekilde kullanıyor. ...