Eine Denial-of-Service-Angriffsmethode (DoS).) wurde enthüllt. Benannt nach HTTP/2-BombeEs ist in der Lage, die gängigsten Webserver in wenigen Sekunden von einem einzigen Computer aus unzugänglich zu machen.
Diese Technik wurde vom Codex von OpenAI unter der Aufsicht von Forschern des offensiven Sicherheitsunternehmens Calif aufgedeckt und wirkt sich auf die Standardkonfigurationen von Servern wie Nginx, Apache httpd, Microsoft IIS, Envoy und Cloudflare Pingora aus.
Wie funktioniert der Denial-of-Service-Cyberangriff?
Der HTTP/2-Bomb-Exploit ist in seinen Komponenten nicht völlig neu, seine Stärke liegt jedoch in der Kombination zweier seit fast einem Jahrzehnt bekannter Schwächen.
Die erste bezieht sich auf die HPACK-Komprimierung. Der Angreifer sendet einen Header in die Komprimierungstabelle des Servers und referenziert ihn dann tausende Male mit einem einzigen Byte. Dieser Mechanismus erzeugt eine massive Verstärkung, bei der ein vom Angreifer gesendetes Byte dazu führen kann, dass mehrere tausend Bytes Speicher auf dem Server zugewiesen werden.
Der zweite Teil des Denial-of-Service-Angriffs ist ein Slowloris-Block, der die HTTP/2-Flusskontrolle ausnutzt. Der Angreifer kündigt ein Stream-Fenster von null Bytes an und verhindert so, dass der Server seine Antwort abschließen und den zugewiesenen Speicher freigeben kann. Durch das Senden winziger Updates hält der Angreifer die Verbindung auf unbestimmte Zeit offen und blockiert so Speicherressourcen.
Wie groß sind die Auswirkungen auf Server?
Forscher aus Kalifornien zeigen, dass ein PC mit einer 100-Mbit/s-Verbindung einen anfälligen Server innerhalb von Sekunden unzugänglich machen kann.
Tests zeigten alarmierende Ergebnisse für große Webserver. Im Gegensatz zu Apache und Envoy kann ein einzelner Client in nur zehn Sekunden 32 GB Serverspeicher verbrauchen und behalten.
Die Verstärkungsverhältnisse sind besonders hoch, bis zu 5.700:1 für Envoy und 4.000:1 für Apache. Die Technik ist umso schädlicher, als sie traditionelle Schutzmaßnahmen umgeht.
Patches sind bereits verfügbar
Angesichts der Bedrohung und dank vorgelagerter Offenlegungen wurden Korrekturen bereitgestellt, aber noch nicht alle Herausgeber haben reagiert.
Für Nginx ist ein Upgrade auf Version 1.29.8 oder höher zwingend erforderlich. Für Apache wurde der Fehler mit der Referenz CVE-2026-49975 in Version 2.0.41 von mod_http2 behoben. Envoy hat auch Patches veröffentlicht, um einen solchen Angriff abzuschwächen.