RHSB-2026-007 HTTP/2 HPACK サービス拒否攻撃 - httpd、nginx、Envoy (CVE-2026-49975、CVE-2026-47774) - HTTP/2 爆弾

エグゼクティブサマリー

HTTP/2 サーバーの実装において、サービス拒否攻撃の脆弱性が複数発見されました。これらの脆弱性は、HTTP/2 のヘッダー圧縮スキームである HPACK を標的としており、小さなリクエストでもサーバー上で大量のメモリー割り当てを引き起こす可能性があります。これらには、CVE-2026-49975 (httpd)、CVE-2026-47774 (Envoy)、および nginx (まだ CVE は割り当てられていません) が割り当てられています。重大度はすべて 重要 と評価されています。他の実装にも影響がありますが、Red Hat 製品では利用されていません。

現在も調査は継続中で、新たな情報が入り次第、この Security Bulletin を更新します。Red Hat アカウントでログイン後、下の「Follow」ボタンをクリックすると、アップデートの通知を受信できます。

影響を受ける製品

以下のバージョンの Red Hat 製品が直接影響を受けます。

• Red Hat Enterprise Linux 8
• Red Hat Enterprise Linux 9
• Red Hat Enterprise Linux 10
• Red Hat OpenShift Service Mesh 2
• Red Hat OpenShift Service Mesh 3

さらに、Red Hat Enterprise Linux (RHEL CoreOS を含む) 上でサポートされているすべての Red Hat 製品も影響を受ける可能性があります。具体的には、次の製品が含まれます。

• RHEL または UBI コンテナーイメージをベースとする製品コンテナー。 これらのイメージは定期的に更新され、この脆弱性に対する修正が利用可能かどうかを示すコンテナーの状態は、Container Health Index (Red Hat Container Catalog の一部) で確認できます。 さらに、ベースイメージが更新されるとお客様のコンテナーが再ビルドされるはずです。
• RHEL チャンネルからパッケージを取得する製品 (Red Hat OpenShift Container Platform、Red Hat OpenStack Platform、Red Hat Virtualization などのレイヤード製品も含まれます)。 これらの製品環境において、基盤となる HTTP/2 サーバーが最新の状態であるようにしてください。

軽減策

全体的な指針

現時点で確認されている唯一の緩和策は、HTTP/2 のサポートを無効にすることです。調査の進展に伴い、各コンポーネントに関する詳細なガイダンスが提供される予定です。

Apache httpd (CVE-2026-49975)

警告: この変更により、httpd は HTTP/1.1 プロトコルしかサポートできなくなります。

指定された仮想ホストの設定に、次の行を追加します。

Protocols http/1.1

この変更を有効にするには、httpd サービスを再起動する必要があります。

systemctl restart httpd

nginx

設定ファイルに以下のエントリーを追加します。

http2 off;

Envoy (CVE-2026-47774)

緩和策に関するガイダンスは現在作成中で、今後、この Security Bulletin で最新情報が更新されます。

参考資料

https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb