HTTP/2 Bomb Server Vulnerability: अपाचे और एंजिनिक्स सर्वर्स के लिए नया 'यूनिवर्सल' खतरा! 🛡️💻

दुनिया भर की अधिकांश वेबसाइट्स और वेब सर्वर्स NGINX या Apache सॉफ्टवेयर पर चलते हैं। यदि आप भी एक डेवलपर हैं या कोई सर्वर मैनेज करते हैं, तो आपके लिए एक बड़ी साइबर सुरक्षा चेतावनी जारी की गई है। आज यानी 10 जून 2026 को सुरक्षा शोधकर्ताओं ने एक नई क्रिटिकल डिनायल ऑफ सर्विस (DoS) सुरक्षा खामी का खुलासा किया है, जिसे HTTP/2 Bomb Server Vulnerability (CVE-2026-49975) नाम दिया गया है।

यह बग हैकर्स को एक ही घरेलू कंप्यूटर से पूरी वेबसाइट के सर्वर को कुछ ही सेकंड में पूरी तरह ठप (crash) करने की अनुमति देता है। आइए समझते हैं कि यह "कंप्रेशन बम" कैसे काम करता है और आपके सर्वर्स को सुरक्षित करने के उपाय क्या हैं।

What is the HTTP/2 Bomb attack? (एचटीटीपी/2 बम हमला क्या है?)

यह हमला 2023 के प्रसिद्ध "Rapid Reset" हमले से अलग है। HTTP/2 Bomb एक हाइब्रिड अटैक है जो दो अलग-अलग तकनीकों का उपयोग करके सर्वर की मेमोरी (RAM) को पूरी तरह खाली कर देता है:

1. HPACK कम्प्रेशन एब्यूज (Compression Bomb): हैकर्स HTTP/2 के हेडर कम्प्रेशन सिस्टम (HPACK) का दुरुपयोग करके सर्वर को छोटे-छोटे पैकेट्स भेजते हैं जिनमें विशालकाय डेटा के रिफरेंस होते हैं। इसके कारण सर्वर की मेमोरी एम्प्लीफिकेशन रेटिंग 5,700:1 तक बढ़ जाती है। यानी 1KB के पैकेट को डिकोड करने के लिए सर्वर को 5.7MB मेमोरी आवंटित करनी पड़ती है।
2. स्लो लोरिस होल्ड (Slowloris Hold): हैकर सर्वर के जवाब को रोक कर रखते हैं। वे लगातार 1-बाइट के विंडो अपडेट भेजते रहते हैं, जिससे सर्वर कनेक्शन को खुला रखता है और मेमोरी खाली नहीं कर पाता। परिणाम स्वरूप, सर्वर की रैम फुल हो जाती है और सर्वर क्रैश हो जाता है।

Technical Specifications (तकनीकी विवरण)

| जोखिम पैरामीटर (Parameter) | विवरण (Details) | |---|---| | सुरक्षा आईडी (CVE ID) | CVE-2026-49975 | | गंभीरता रेटिंग (Severity) | 9.1 / 10 (Critical) | | प्रभावित सर्वर्स (Affected Web Servers) | NGINX (All versions before 1.29.8), Apache HTTP Server (mod_http2 before 2.0.41) | | सुरक्षा पैच रिलीज | दोनों वेंडर्स ने फिक्स जारी कर दिए हैं |

India Angle: भारतीय डिजिटल इंफ्रास्ट्रक्चर और सरकारी पोर्टल्स पर खतरा

भारत जैसे तेजी से बढ़ते डिजिटल देश के लिए यह सुरक्षा चेतावनी बेहद महत्वपूर्ण है:

• सरकारी पोर्टल्स और बैंकिंग वेबसाइट्स: भारत सरकार के कई डिजिटल पब्लिक इंफ्रास्ट्रक्चर (जैसे यूआईडीएआई, उमंग, डिजिटल इंडिया साइट्स) और स्थानीय सहकारी बैंकों की वेबसाइट्स Apache या NGINX सर्वर्स पर होस्टेड हैं। यदि समय रहते इन्हें पैच नहीं किया गया, तो हैकर्स इन महत्वपूर्ण नागरिक सेवाओं को ठप कर सकते हैं।
• भारतीय वेब डेवलपर्स की जिम्मेदारी: बेंगलुरु, पुणे और हैदराबाद की सॉफ्टवेयर कंपनियों को अपने क्लाइंट्स के प्रोडक्शन सर्वर्स का तुरंत ऑडिट करना होगा। डेवलपर्स को तुरंत पैच्ड पैकेज इंस्टॉल करने होंगे।
• WAF का उपयोग: जो होस्टिंग प्रदाता तुरंत पैच नहीं कर सकते, उन्हें भारत में होस्ट किए गए सर्वर्स के आगे Web Application Firewall (WAF) या रेट-लिमिटर लगाने की सलाह दी गई है।

Step-by-Step Security Fix Guide (सर्वर्स को कैसे बचाएं?)

यदि आप एक एडमिन या डेवलपर हैं, तो तुरंत ये कदम उठाएं:

1. अपग्रेड NGINX: अपने NGINX सर्वर को तुरंत अपडेट करके v1.29.8 या इससे नए वर्जन पर ले जाएं।
2. अपग्रेड Apache mod_http2: यदि आप अपाचे का उपयोग कर रहे हैं, तो mod_http2 मॉड्यूल को अपडेट करके v2.0.41 पर अपग्रेड करें।
3. सिस्टम सेटिंग्स बदलें: जब तक अपडेट न हो, तब तक http2_max_requests और http2_max_header_size जैसी सीमाएं (limits) अपने कॉन्फ़िगरेशन में कम कर दें ताकि सर्वर एम्प्लीफिकेशन होल्ड को रोक सके।

Conclusion (निष्कर्ष)

CVE-2026-49975 या HTTP/2 Bomb यह याद दिलाता है कि वेब प्रोटोकॉल्स जितने जटिल होते जाते हैं, हैकर्स उनके भीतर उतनी ही बारीक खामियां ढूंढ निकालते हैं। सर्वर्स का क्रैश होना व्यापार और नागरिक सेवाओं दोनों के लिए नुकसानदेह है। इसलिए बिना किसी देरी के अपने सर्वर्स को अपडेट करें और भारतीय वेब इंफ्रास्ट्रक्चर को सुरक्षित रखें।