今天看了这个视频关于http/2 bomb:
nginx也受影响,虽然我是用freenginx但依旧有点慌。急忙去看我的freenginx版本号,发现由于AUR作者不用freenginx所以俩个月都没更新,心顿时凉了半截,但!我又读到了这篇文章https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb里面有这句话:
We disclosed the issue to nginx in April. They responded by importing the max_headers directive from freenginx, shipping it in 1.29.8 the next day. At this point, we consider the attack public.
赶忙去瞅了眼nginx的那个commithttps://github.com/nginx/nginx/commit/365694160a85229a7cb006738de9260d49ff5fa2,以及nginx拿的freenginx的commithttps://freenginx.org/hg/nginx/rev/199dc0d6b05be814b5c811876c20af58cd361fea,发现freenginx早在2024年5月24日就有这个commit防止了此次攻击,所以我完全不受影响,nginx在2026年4月6日从freenginx那拿了这个commit以修复此漏洞。壮哉我大freenginx!从当初freenginx fork了nginx的时候我就开始用freenginx了,最近在犹豫要不要回归nginx,但深入挖掘出了这个信息后,我单方面宣布我从此是freenginx死忠,直到死亡的瞬间。
哈哈哈,谁能想到我当初气不过freenginx作者的遭遇而改用freenginx到今天会有如此收获,真的是人争一口气啊。
