
Java 後端要快手查依賴:Apache HttpComponents Core 兩個 DoS 漏洞要補
影響 httpcore5 / httpcore5-h2,唔好淨係等依賴 bot 提醒
件事唔大聲,但後端隊要即刻睇
iThome 報道,Apache Software Foundation 喺 7 月 1 日公開兩個 Apache HttpComponents Core 漏洞,編號係 CVE-2026-54428 同 CVE-2026-54399。兩個都唔係偷資料或者遠端執行程式碼嗰類,但都拎到 CVSS 7.5,高風險位喺「打爆記憶體令服務頂唔住」。如果你有 Java API、內部 service、SDK、Spring backend、甚至自家寫嘅 HTTP client/server 組件,用到 HttpComponents Core 5.x,就唔好當純公告掃走。
兩個洞,打嘅位唔同
第一個 CVE-2026-54428 落喺 org.apache.httpcomponents.core5:httpcore5-h2,即 HTTP/2 相關模組。官方公告講,問題出喺 HPACK decoder,攻擊者可以喺 HTTP/2 SETTINGS acknowledgement 之前塞入過大嘅壓縮 header block,令記憶體一路俾食住。第二個 CVE-2026-54399 就係 org.apache.httpcomponents.core5:httpcore5 嘅 HTTP/1.1 message parser,攻擊方法係送大量 header,或者超長 header,結果一樣係令 JVM 記憶體受壓,最後服務可能變慢、hang 死或者重啟。
點解唔好淨係等 Dependabot
呢單最易漏嘅位,係好多團隊未必直接喺 pom.xml 寫 httpcore5。佢可能係由 httpclient5、某個 cloud SDK、支付 SDK、搜尋 client、內部共用 library 間接拉入嚟。再麻煩啲講,截至 7 月 6 日我哋見到 GitHub Advisory Database 兩個 GHSA 條目都未列出 Maven package 同修補版本,頁面仲寫明 Dependabot alert 未支援呢條 advisory。即係話,只等 GitHub 出紅色提醒,有機會慢半拍,甚至完全睇漏。
先查版本,再決定點升
Apache 公告列出受影響版本係 5.4.2、5.5-beta1,同埋同線之前版本;Maven Central 而家見到 httpcore5 同 httpcore5-h2 最新係 5.5-beta2,Apache project news 亦列出 5.4.3 同 5.5-beta2 喺 6 月 25 日發佈。實務上,如果你跑緊穩定線,就先睇可唔可以升到 5.4.3;如果你本身已經試緊 5.5 beta,就跟到 5.5-beta2。唔好只改一個 artifact,要同時睇 httpcore5 同 httpcore5-h2,因為 HTTP/1.1 同 HTTP/2 係兩個唔同攻擊面。
Maven / Gradle 可以咁掃
Maven 專案可以先跑 mvn dependency:tree -Dincludes=org.apache.httpcomponents.core5,再睇有冇 httpcore5 或 httpcore5-h2 卡喺 5.4.2 / 5.5-beta1 或以下。Gradle 就睇 runtimeClasspath、compileClasspath,例如用 ./gradlew dependencies --configuration runtimeClasspath 再搜尋 httpcore5。如果你用 Spring Boot BOM 或公司內部 platform BOM,記得查埋 effective version;好多時開發者以為自己冇 pin version,其實係 BOM 幫你 pin 咗舊版。
補唔切,都要喺邊界擋一擋
最好做法當然係升版,不過大公司有時要排 regression test。短期可以喺 reverse proxy、API gateway、WAF 或 ingress 加 header size、header count、request rate limit,同時監控 JVM heap、GC pause、OutOfMemoryError、pod restart。呢啲唔係正式修補,只係減低有人亂塞 header 時即刻打穿服務嘅機會。對金融、電商、物流、會員系統呢類長開 API 嘅 Java 團隊,今次重點好簡單:先搵出依賴,再升到 5.4.3 或 5.5-beta2,跟住先再慢慢清 BOM 同 SBOM 流程。
參考來源
- iThome — Apache修補HttpComponents Core兩項高風險漏洞,未更新可能導致服務阻斷攻擊 — original report
- Apache HttpComponents Project News — Apache 官方 project news,用嚟核對 5.4.3、5.5-beta2 發佈資料。
- Apache HttpCore Overview — Apache 官方文件,確認 HttpCore 係低層 HTTP transport components,同支援 HTTP/1.1、HTTP/2 相關規格。
- oss-security:CVE-2026-54428 Apache HttpComponents Core — Apache 公告郵件鏡像,核對 httpcore5-h2、HTTP/2 HPACK、受影響版本同 DoS 條件。
- oss-sec:CVE-2026-54399 Apache HttpComponents Core — Apache 公告郵件鏡像,核對 httpcore5、HTTP/1.1 parser、header 過量/過長造成記憶體耗盡。
- NVD:CVE-2026-54428 Detail — 核對 CVSS vector、CWE、受影響 package 同公開日期。
- GitHub Advisory:CVE-2026-54428 — 核對 GitHub Advisory 對嚴重性、CVSS,同 Dependabot alert 暫未支援嘅狀態。
- GitHub Advisory:CVE-2026-54399 — 核對 GitHub Advisory 對 HTTP/1.1 parser 漏洞嘅描述、CVSS 同 Dependabot alert 狀態。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







