2026/06/08
【重要】HTTP/2 BombによるDoS脆弱性(CVE-2026-49975)について
平素は当サービスをご利用いただき誠にありがとうございます。
2026年6月3日に、HTTP/2通信を利用するWebサーバーソフトウェアにおいて、
「HTTP/2 Bomb」と呼ばれるサービス拒否(DoS)脆弱性が確認されました。
問題(脆弱性)のある環境をご利用のお客様におかれましては、
下記の対策を行ってくださいますようお願いいたします。
----------------------------------------------------------------------
■発表された脆弱性
CVE-2026-49975
■影響を受ける環境
以下のソフトウェアにおいてHTTP/2を有効にしている環境
・nginx v1.29.8未満
・Apache httpd(mod_http2 v2.0.41相当の修正が未適用の環境)
・その他、本脆弱性の影響を受けるHTTP/2対応ソフトウェア
■脆弱性の影響
本脆弱性が悪用された場合、サーバーのメモリが大量に消費され、
サーバーのダウンやWebサービスの停止が発生する可能性があります。
■対策
ご利用中のソフトウェアの公式セキュリティ情報をご確認いただき、
各ベンダーより提供されている修正版へのアップデートを実施してください。
【nginxをご利用の場合】
v1.29.8以降へアップデートしてください。
【Apache httpdをご利用の場合】
mod_http2 v2.0.41相当の修正が適用された環境へ更新してください。
なお、修正版の適用が困難な場合は、HTTP/2を無効化し、
HTTP/1.1のみを利用することをご検討ください。
■詳細について(外部サイト)
Ubuntu
https://ubuntu.com/security/CVE-2026-49975
Debian
https://security-tracker.debian.org/tracker/CVE-2026-49975
Red Hat系ディストリビューション
https://access.redhat.com/security/cve/cve-2026-49975
----------------------------------------------------------------------
2026年6月3日に、HTTP/2通信を利用するWebサーバーソフトウェアにおいて、
「HTTP/2 Bomb」と呼ばれるサービス拒否(DoS)脆弱性が確認されました。
問題(脆弱性)のある環境をご利用のお客様におかれましては、
下記の対策を行ってくださいますようお願いいたします。
----------------------------------------------------------------------
■発表された脆弱性
CVE-2026-49975
■影響を受ける環境
以下のソフトウェアにおいてHTTP/2を有効にしている環境
・nginx v1.29.8未満
・Apache httpd(mod_http2 v2.0.41相当の修正が未適用の環境)
・その他、本脆弱性の影響を受けるHTTP/2対応ソフトウェア
■脆弱性の影響
本脆弱性が悪用された場合、サーバーのメモリが大量に消費され、
サーバーのダウンやWebサービスの停止が発生する可能性があります。
■対策
ご利用中のソフトウェアの公式セキュリティ情報をご確認いただき、
各ベンダーより提供されている修正版へのアップデートを実施してください。
【nginxをご利用の場合】
v1.29.8以降へアップデートしてください。
【Apache httpdをご利用の場合】
mod_http2 v2.0.41相当の修正が適用された環境へ更新してください。
なお、修正版の適用が困難な場合は、HTTP/2を無効化し、
HTTP/1.1のみを利用することをご検討ください。
■詳細について(外部サイト)
Ubuntu
https://ubuntu.com/security/CVE-2026-49975
Debian
https://security-tracker.debian.org/tracker/CVE-2026-49975
Red Hat系ディストリビューション
https://access.redhat.com/security/cve/cve-2026-49975
----------------------------------------------------------------------
