HTTP/2 DoS-sérülékenység a Zimbrában

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A Zimbra Collaboration Suite 10.1.18-as kiadása komoly biztonsági javítást, egy Denial-of-Service (DoS) sérülékenység orvoslását tartalmazza, amelyet a Hong Kong CERT (HKCERT) 2026. június 22-én külön biztonsági közleményben is kiemelt figyelmeztetésként tett közzé.

A CVE-2026-49975 egy erőforrás-kimerítési (resource exhaustion) sérülékenység, amelynek gyökere az Apache HTTP Server mod_http2 moduljában található. A sebezhetőség a HTTP/2 protokoll kérelemfeldolgozási logikájában, illetve a HPACK-fejlécek kezelésében jelenik meg. A támadási forgatókönyv a következőképpen néz ki:

  • Egy távoli, hitelesítés nélküli támadó speciálisan megformált HTTP/2 kéréseket küld a célszervernek.
  • A kérések ismételt indexed header reference-eket és szándékosan leállított (stalled) flow-control window-t alkalmaznak.
  • Ez kontrollálatlan memóriafoglalást idéz elő, amely a szerver elérhetetlenségéhez vezet.

A sérülékenység „HTTP/2 Bomb” becenéven is ismertté vált, és a problémát az érintett Apache HTTP Server verziók tekintetében a 2.4.17-től 2.4.67-ig terjedő kiadásokban dokumentálták. Nyilvánosan elérhető PoC (Proof-of-Concept) exploit kód is létezik, amelyet 2026. június 2-án hoztak nyilvánosságra.

A Zimbra Collaboration Suite belső HTTP-kiszolgálóként az nginx-et alkalmazza proxy rétegként, amely a bejövő kéréseket a belső mailbox szolgáltatásokhoz irányítja. A CVE-2026-49975 az alapértelmezett HTTP/2 konfiguráción keresztül elérhető, ami azt jelenti, hogy a legtöbb Zimbra telepítés potenciálisan érintett. A Zimbra 10.1.18-as release note-ja szerint az update magában foglalja a „system resilience” javítását és a DoS-feltételek elleni védelmet.

A zimbra-nginx csomag is frissül ebben a kiadásban, ami összhangban van azzal, hogy a HTTP/2 kezelési logika az nginx proxy rétegben is érintett lehet.

A PoC-exploit nyilvános elérhetősége és a hitelesítés nélküli kihasználhatóság együttesen magas, tényleges kockázatot jelent. A Check Point Security adatai szerint a sérülékenység nemcsak Nginxet és Apache-ot, hanem Microsoft IIS-t, Envoy-t és Cloudflare Pingora-t is érinti, ami jelzi a probléma szélesebb ökoszisztémára való kihatását.

Ajánlott azonnali lépés Zimbra rendszergazdák számára: frissítés 10.1.18-ra a Zimbra hivatalos patch telepítési útmutatója alapján.