Mengenal HTTP/2 Bomb (CVE-2026-49975): Bug DoS Terbaru yang Mengancam NGINX dan Apache
Protokol HTTP/2 dirancang untuk membuat web menjadi lebih cepat melalui fitur multiplexing, kompresi header (HPACK), dan koneksi yang persisten. Namun, efisiensi ini terkadang membawa celah keamanan baru. Baru-akhir ini di bulan Juni 2026, komunitas keamanan siber dikejutkan oleh temuan celah keamanan kritis yang dinamakan "HTTP/2 Bomb" (dilacak sebagai CVE-2026-49975).
Kerentanan ini tergolong sangat berbahaya karena penyerang dengan bandwidth internet rumahan biasa (sekitar 100 Mbps) dapat melumpuhkan server kelas enterprise yang memiliki kapasitas besar hanya dalam hitungan detik. Mari kita bedah bagaimana cara kerja eksploitasi ini dan bagaimana cara mengamankan server Anda.
Bagaimana HTTP/2 Bomb Bekerja?
HTTP/2 Bomb bukanlah serangan DDoS tradisional yang mengandalkan volume traffic besar (brute force bandwidth). Serangan ini sangat efisien karena menggabungkan dua teknik eksploitasi yang cerdas: HPACK Compression Bomb dan HTTP/2 "Low-and-Slow" Hold.
1. HPACK Compression Bomb (Amplifikasi Memori)
Dalam HTTP/2, header dari setiap request dikompresi menggunakan algoritma HPACK untuk menghemat bandwidth. HPACK bekerja dengan memelihara tabel referensi dinamis yang menyimpan string header yang sering digunakan.
Penyerang mengirimkan frame HTTP/2 berukuran kecil yang sangat terkompresi. Ketika server menerima frame ini, server harus mendekompresinya dan mengalokasikan memori yang sangat besar untuk menyimpan representasi header tersebut di memori internal (bookkeeping). Hal ini melewati batas ukuran dekompresi biasa karena struktur data HPACK dimanipulasi sedemikian rupa.
2. Low-and-Slow Resource Pinning
Biasanya, jika koneksi selesai atau tidak aktif, server akan membebaskan (free) memori tersebut. Di sinilah teknik kedua masuk.
Penyerang menggunakan fitur kontrol aliran (flow control) HTTP/2 dengan mengirimkan parameter ukuran window sebesar 0 byte kepada server. Ini memberi tahu server: "Saya belum siap menerima data, tolong tahan respons Anda." Untuk menjaga koneksi tetap hidup tanpa memicu timeout, penyerang secara berkala mengirimkan frame WINDOW_UPDATE berukuran hanya 1 byte. Akibatnya, server terpaksa mempertahankan memori besar yang telah dialokasikan tadi dalam waktu lama.
Dengan membuka beberapa ratus koneksi seperti ini secara bersamaan, memori RAM server akan habis dengan cepat (Out of Memory), menyebabkan crash atau hilangnya kemampuan server untuk melayani pengguna asli.
Siapa Saja yang Terdampak?
Karena celah ini berada pada level desain protokol dan implementasi parsing HPACK yang umum, banyak web server populer yang rentan terhadap HTTP/2 Bomb:
- NGINX: Rentan pada versi mainline maupun stable sebelum rilis perbaikan terbaru.
-
Apache HTTP Server: Rentan melalui modul
mod_http2. - Microsoft IIS: Terkena dampak pada varian server Windows tertentu yang mengaktifkan HTTP/2.
- Envoy Proxy & Cloudflare Pingora: Proxy modern yang menangani traffic HTTP/2 dalam volume besar juga terpengaruh.
Menariknya, celah keamanan ini ditemukan oleh tim riset keamanan Calif menggunakan bantuan AI (OpenAI Codex) untuk melakukan analisis kode dinamis dan merangkai (chaining) celah-celah kecil menjadi satu serangan DoS yang mematikan.
Langkah Mitigasi dan Perbaikan
Langkah terbaik dan paling direkomendasikan adalah melakukan update web server Anda ke versi paling baru yang telah menambal celah ini:
Web Server / Modul
Versi Aman Minimum
**NGINX**
1.29.8 atau lebih baru
**Apache HTTP Server (mod_http2)**
2.0.41 atau lebih baru
**Envoy Proxy**
Cek patch rilis Juni 2026 (CVE-2026-47774)
Jika Anda belum bisa melakukan update sistem dalam waktu dekat karena alasan stabilitas produksi, Anda dapat menerapkan mitigasi sementara berikut:
- Batasi Batas Dekompresi HPACK: Konfigurasikan limit maksimum ukuran tabel dinamis HTTP/2 di file konfigurasi web server Anda.
- Gunakan Web Application Firewall (WAF): Letakkan server Anda di belakang layanan reverse proxy yang tangguh seperti Cloudflare yang telah memitigasi serangan ini di tingkat edge network mereka.
- Batasi Koneksi per IP: Terapkan rate limiting ketat untuk jumlah koneksi HTTP/2 simultan dari satu alamat IP.
# Contoh konfigurasi limitasi koneksi pada NGINX
limit_conn_zone $binary_remote_addr zone=limit_per_ip:10m;
server {
...
limit_conn limit_per_ip 50; # Maksimal 50 koneksi per IP
}
Kesimpulan
HTTP/2 Bomb (CVE-2026-49975) membuktikan bahwa optimasi protokol web yang rumit sering kali menyembunyikan efek samping yang berbahaya. Bagi para SysAdmin dan DevOps, segera jadwalkan maintenance window untuk memperbarui NGINX, Apache, atau load balancer Anda guna menghindari serangan Denial of Service yang tidak diinginkan.
"Keamanan server bukanlah proses sekali jadi, melainkan adaptasi terus-menerus terhadap ancaman baru yang terus berevolusi."
Artikel ini pertama kali diterbitkan di SavefileArchive.
Top comments (0)