Aprenda a verificar, corrigir e mitigar a vulnerabilidade HTTP/2 Bomb (CVE-2026-49975) no Apache em Debian. Script de automação, comandos práticos e dicas de hardening para manter seu servidor seguro por anos.
A Ameaça que Continua Relevante
Em junho de 2026, pesquisadores de segurança divulgaram uma falha crítica conhecida como HTTP/2 Bomb.
Um atacante sem autenticação, rodando em um simples computador doméstico com conexão de 100 Mbps, consegue esgotar até 32 GB de memória RAM do seu servidor em menos de 20 segundos, derrubando sites e aplicações.
A vulnerabilidade, catalogada como CVE-2026-49975 no Apache, combina duas técnicas antigas: uma bomba de compressão HPACK que amplifica o consumo de memória em até 5.700 vezes, e uma trava de controle de fluxo que impede a liberação dessa memória mesmo após o fim da requisição.
A boa notícia é que correções já estão disponíveis para Debian, e as técnicas de mitigação apresentadas aqui vão manter seu servidor seguro independentemente de quando você estiver lendo este guia.
Como Verificar se Seu Servidor Está Vulnerável
1. Verifique a versão do Apache instalada
apache2 -v
A saída mostrará algo como:
Server version: Apache/2.4.62 (Debian)
2. Consulte as versões seguras para Debian
Distribuição Debian Versão corrigida
Bookworm (oldstable) 2.4.67-1~deb12u3
Trixie (stable) 2.4.67-1~deb13u3
3. Verifique se o módulo HTTP/2 está ativo
apache2ctl -M | grep http2
Se o retorno incluir http2_module (shared), o módulo está habilitado e o servidor está potencialmente vulnerável.
Teste completo de versão
bash
dpkg -l | grep apache2-bin
Compare o número da versão com a tabela acima. Versões anteriores às indicadas estão vulneráveis.
Script de Automação para Aplicar a Correção
Salve o script abaixo como fix-http2-bomb.sh e execute com sudo bash fix-http2-bomb.sh:
#!/bin/bash # fix-http2-bomb.sh - Aplica a correção para CVE-2026-49975 no Debian # Compatível com Debian 12 (Bookworm) e Debian 13 (Trixie) set -e echo "=== Verificando versão do Debian ===" DEBIAN_VERSION=$(lsb_release -cs) echo "Debian: $DEBIAN_VERSION" echo "=== Verificando versão atual do Apache ===" apache2 -v echo "=== Atualizando lista de pacotes ===" sudo apt update echo "=== Aplicando atualização de segurança do Apache ===" sudo apt install --only-upgrade apache2 apache2-bin apache2-data echo "=== Verificando nova versão ===" apache2 -v echo "=== Testando configuração do Apache ===" sudo apache2ctl configtest echo "=== Reiniciando Apache ===" sudo systemctl restart apache2 echo "=== Verificando status do serviço ===" sudo systemctl status apache2 --no-pager echo "=== Correção aplicada com sucesso! ==="
📗 Recomendação de Leitura
Segurança em servidores Linux: Ataque e Defesa (anúncio) -> https://amzn.to/3PLLsXX
Se você prefere estudar em português e quer aprender a "pensar como um hacker" para se antecipar a invasões, essa é a pedida! O livro ensina a usar as ferramentas prediletas dos invasores (como Nmap e Netcat) a seu favor, blindando seus sistemas.
Eu ganho uma comissão quando você faz uma compra.
Mitigação Alternativa (Caso Não Possa Atualizar Agora)
Se você não pode reiniciar o servidor ou aplicar a atualização imediatamente, desative temporariamente o HTTP/2. Essa é a mitigação mais eficaz enquanto o patch não é aplicado.
Passo 1: Desative o módulo HTTP/2
sudo a2dismod http2
Edite cada arquivo em /etc/apache2/sites-available/ e remova ou comente a linha:
Protocols h2 h2c http/1.1
Protocols http/1.1
sudo systemctl restart apache2
curl --http2 -I https://seudominio.com 2>&1 | grep -i "HTTP/2"
Nenhum comentário:
Postar um comentário