Auf den Punkt: Ein HTTP/2-Fehler in der Header-Kompression erlaubt es Angreifern, mit minimalem Datenverkehr excessive Speicherallokationen auszulösen und Server lahm zu legen.
Eine Schwachstelle in der HTTP/2-Standardkonfiguration ermöglicht Denial-of-Service-Angriffe auf weit verbreitete Webserver wie nginx, Apache und Microsoft IIS. Die Sicherheitslücke kombiniert zwei etablierte Angriffstechniken und betrifft über 880.000 Websites.
Die Sicherheitsberatung Calif hat einen Fehler in der HTTP/2-Implementierung bekannt gemacht, der auf Nginx (ab v1.29.8+), Apache HTTP Server (mod_http2 ab v2.0.41), Microsoft IIS, Envoy und Cloudflare Pingora wirkt. Tracked unter CVE-2026-49975, ermöglicht die Schwachstelle einem Angreifer, disproportional viel Speicher auf dem Zielserver zu belegen und damit dessen Performance zu degradieren oder zum Ausfall zu führen.
Das Kernproblem liegt in HPACK, dem HTTP/2-Header-Kompressionsverfahren. Angreifer können die dynamische Header-Tabelle ausnutzen, um mit sehr kleinen Datenmengen auf dem Server wiederholte, große Speicherallokationen zu erzwingen. Calif-CEO Thai Duong beschreibt die Technik als Kombination zweier seit über einem Jahrzehnt bekannter Angriffsmethoden: ein Komprimierungsbomben-Prinzip (ein Byte auf der Leitung wird zu vollständiger Header-Allokation auf dem Server, tausendifach pro Request) und eine Slowloris-ähnliche Hold-Taktik (Null-Byte-Flow-Control-Fenster verhindert Speicherfreigabe). Shodan-Daten zufolge unterstützen mindestens 880.000 Websites HTTP/2 mit einer der betroffenen Serverimplementierungen, wobei CDNs die praktische Ausführbarkeit teilweise erschweren können.
Nginx und Apache HTTP Server haben bereits Patches bereitgestellt; Envoy folgte am 3. Juni mit Versionen 1.35.11, 1.36.7, 1.37.3 und 1.38.1. Microsoft IIS und Cloudflare Pingora hatten zum Veröffentlichungszeitpunkt noch keine Patches verfügbar. Betroffene Administratoren sollten Updates über die standardmäßigen Updatekanäle einspielen.
Für Organisationen, für die kein Patch zur Verfügung steht, empfiehlt Calif, HTTP/2 wenn möglich zu deaktivieren oder den Server mit einer Komponente zu schützen, die eine strikte Obergrenze für Header pro Request erzwingt. Dies ist die erste HTTP/2-DoS-Schwachstelle dieser Art seit 2019, als Netflix mehrere ähnliche Anfällbarkeiten offenbarte, und unterstreicht die anhaltende Notwendigkeit für regelmäßige Sicherheitsaudits etablierter Protokollimplementierungen.
Quelle: www.csoonline.com · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.