https://blog.kalfaoglu.net/tr/tags/http2/Recent content in Http2 on kalfaoglu.netHugotrThu, 04 Jun 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-06-04-cve-2026-49975-http2-bombasi-tr/Thu, 04 Jun 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-06-04-cve-2026-49975-http2-bombasi-tr/<p>3 Haziran 2026&rsquo;da araştırmacı Quang Luong, <a href="https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb">&ldquo;HTTP/2 Bombası&rdquo;</a> adını verdiği uzaktan servis dışı bırakma açığını yayımladı. Açık, sıradan bir ev internet bağlantısından on gigabayt sunucu belleğini saniyeler içinde tüketebiliyor. Güvenlik açığı aynı gün <a href="https://seclists.org/oss-sec/2026/q2/790">oss-security listesine de iletildi</a> ve nginx, Apache httpd, Microsoft IIS, Envoy ile Cloudflare Pingora&rsquo;yı varsayılan HTTP/2 yapılandırmalarında etkiliyor.</p> <p>Apache httpd kolu için CVE-2026-49975 tanımlayıcısı atandı.</p> <h2 id="saldırı-nasıl-çalışıyor">Saldırı nasıl çalışıyor</h2> <p>Açık, her biri yaklaşık on yıldır ayrı ayrı bilinen iki tekniği, bu sunuculara karşı daha önce hiç birleştirilmemiş bir şekilde kullanıyor.</p>