Apache HTTP Server HTTP/2 DoS 취약점 (CVE-2026 -49975)

■ Apache HTTP Server HTTP/2 DoS 취약점 (CVE-2026-49975)

Apache HTTP Server에서 HTTP/2 요청의 Cookie 헤더 처리 과정에서 서비스 거부(DoS)로 이어질 수 있는 취약점이 공개되었으며, CVE-2026-49975로 명명됐습니다.

해당 취약점은 Apache HTTP Server v2.4.17 이상 v2.4.67 이하 버전이 영향을 받습니다. 공격자는 HTTP/2 요청에서 Cookie 헤더 병합 시 헤더 개수 제한이 제대로 반영되지 않는 문제를 악용해, 서버가 대량의 Cookie 헤더를 처리하도록 만들 수 있습니다.

또한 HTTP/2 흐름 제어로 응답 전송을 지연시켜 할당된 메모리가 오래 유지되도록 만들 수 있으며, 그 결과 정상 요청 처리 지연, 요청 실패, 서비스 중단 등 서비스 거부 상태로 이어질 수 있습니다.

해당 취약점은 Apache HTTP Server v2.4.68에서 적용되었으며, 취약한 Apache HTTP Server는 v2.4.68 이상으로 업그레이드하는 것을 권장합니다. 즉시 패치 적용이 어려운 경우에는 HTTP/2 사용을 비활성화하여 해당 공격 경로를 차단해야 합니다.

SK쉴더스 화이트해커 그룹 EQST의 최신 보안 인사이트가 담긴 EQST insight 전문이 궁금하다면, ‘더 알아보기’를 클릭해보세요!

👉 더 알아보기: https://www.skshieldus.com/report/eqstInsight/rt2606.html

✅EQST(이큐스트)는 ‘Experts, Qualified Security Team’ 이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된 최고 수준의 보안 전문가 그룹입니다.