RHSB-2026-007 HTTP/2 HPACK 서비스 거부(DoS) 취약점 - httpd, nginx, Envoy (CVE-2026-49975, CVE-2026-47774) - "HTTP/2 Bomb"

요약

HTTP/2 서버 구현에서 여러 서비스 거부(DoS) 취약점이 발견되었습니다. 이 취약점은 HTTP/2의 헤더 압축 방식인 HPACK을 대상으로 하며, 매우 작은 요청만으로도 서버에서 대규모 메모리 할당을 유발할 수 있습니다. 이는 CVE-2026-49975 (httpd), CVE-2026-47774 (Envoy), nginx (아직 CVE 미할당)로 할당되어 있습니다. 모든 취약점은 심각도 기준으로 중요 [Important] 등급으로 평가되었습니다 (https://access.redhat.com/security/updates/classification). Red Hat 제품에서 사용되지는 않지만, 다른 구현도 영향을 받는 것으로 확인되었습니다.

현재 조사가 진행 중이며, 새로운 정보가 확인되는 대로 본 보안 공지가 업데이트될 예정입니다. Red Hat 계정으로 로그인한 페이지 하단의 "다음" 버튼을 클릭하여 업데이트에 대한 알림을 받습니다.

영향을 받는 제품

직접적인 영향을 받는 Red Hat 제품 버전은 다음과 같습니다.

• Red Hat Enterprise Linux 8
• Red Hat Enterprise Linux 9
• Red Hat Enterprise Linux 10
• Red Hat OpenShift Service Mesh 2
• Red Hat OpenShift Service Mesh 3

또한 Red Hat Enterprise Linux (RHEL CoreOS 포함)에서 지원되는 모든 Red Hat 제품도 잠재적으로 영향을 받을 수 있습니다. 여기에는 다음이 포함됩니다.

• RHEL 또는 UBI 컨테이너 이미지를 기반으로 하는 제품 컨테이너입니다. 이러한 이미지는 정기적으로 업데이트되며 이 취약점에 대한 수정 사항을 사용할 수 있는지 여부를 나타내는 컨테이너 상태는 [Red Hat Container Catalog] (https://catalog.redhat.com/)의 일부인 컨테이너 상태 색인(Container Health Index)에서 확인할 수 있습니다. 또한 기본 이미지가 업데이트되면 모든 고객 컨테이너를 다시 빌드해야 합니다.
• RHEL 채널에서 소프트웨어 패키지를 가져오는 제품입니다. (Red Hat OpenShift Container Platform, Red Hat OpenStack Platform, Red Hat Virtualization 등과 같은 계층화된 제품 포함) 이러한 제품 환경에서는 기반 HTTP/2 서버가 최신 상태인지 반드시 확인해야 합니다.

완화 방법

일반 권고 사항

현재 알려진 유일한 완화 방법은 HTTP/2 지원을 비활성화하는 것입니다. 조사가 진행됨에 따라 구성 요소별 추가 지침이 제공될 예정입니다.

Apache httpd (CVE-2026-49975)

경고: 이 변경 사항을 적용하면 httpd가 HTTP/1.1 프로토콜만 지원하도록 강제됩니다.

해당 가상 호스트의 구성에 다음 행을 추가합니다.

Protocols http/1.1

변경 사항을 적용하려면 'httpd' 서비스를 다시 시작해야 합니다.

systemctl restart httpd

nginx

구성 파일에 다음 항목을 추가합니다.

http2 off;

Envoy (CVE-2026-47774)

현재 완화 방법이 개발되고 있으며 향후 본 보안 공지의 업데이트를 통해 제공될 예정입니다.

참고 자료

https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb