Auf den Punkt: Die HTTP/2-Bomb kombiniert Metadaten-Verstärkung mit Slowloris-Taktiken und ermöglicht massive DoS-Angriffe ohne Schwellenwert-Limitierungen, da die Protokoll-Spezifikation Speicher unzureichend kontrolliert.
Ein neues Denial-of-Service-Angriffsmuster gegen HTTP/2 bedroht führende Webserver wie NGINX, Apache HTTPD und Microsoft IIS in ihrer Standardkonfiguration. Das Sicherheitsunternehmen Calif dokumentiert eine Schwachstelle, bei der ein einfacher Client innerhalb von 20 Sekunden 32 Gigabyte Arbeitsspeicher blockieren kann.
Das IT-Sicherheitsunternehmen Calif hat eine neue Schwachstelle im Netzwerkprotokoll HTTP/2 dokumentiert. Die Lücke ermöglicht Denial-of-Service-Angriffe auf NGINX, Apache HTTPD, Microsoft IIS, Envoy und Cloudflare Pingora — die weltweit am häufigsten eingesetzten Webserver. Nach Angaben von Calif wurde die Schwachstelle mit Hilfe von OpenAI Codex entdeckt, indem zwei bekannte Angriffsmuster kombiniert wurden: eine Kompressionsbombe und ein Slowloris-ähnlicher Verbindungsblockade-Angriff. Das anfällige Verhalten existiert in der Standard-HTTP/2-Konfiguration aller betroffenen Softwarepakete und betrifft damit nahezu alle produktiven Installationen ohne Härtungsmaßnahmen.
Das Angriffskonzept unterscheidet sich grundlegend von historischen Kompressionsbomben wie CVE-2016-6581 oder CVE-2025-53020, die auf das HPACK-Kompressionsverfahren für HTTP/2-Header abzielten. Moderne Webserver wurden darauf trainiert, die maximal dekodierte Header-Größe zu überwachen und bei Überschreitung abzubrechen. Die HTTP/2-Bomb nutzt jedoch einen inversen Ansatz: Der Header bleibt minimal, aber die Verstärkung kommt von der umfangreichen Speicherbuchführung pro Eintrag auf Serverseite. Ein einziges übertragenes Byte führt zu einer vollständigen, ressourcenintensiven Header-Zuweisung im RAM — und dies wird pro Anfrage tausendfach wiederholt. Das bestehende Limit für dekodierte Header-Größe greift nicht, weil praktisch nichts dekodiert werden muss.
Die zweite Komponente nutzt ein Zero-Byte-Flow-Control-Window aus, das dem Server signalisiert, der Client könne keine Daten empfangen. Der Server wird dadurch gezwungen, die Verbindung offen zu halten und zugewiesene Speicherbereiche nicht freizugeben — eine Slowloris-Taktik auf Anwendungsebene. In Tests belastete ein einziger Client Apache HTTPD und Envoy so stark, dass innerhalb von etwa 20 Sekunden 32 Gigabyte des serverseitigen Arbeitsspeichers komplett blockiert waren. Ein herkömmlicher Heimcomputer mit 100-Megabit-Internetverbindung kann damit einen ungeschützten Server in wenigen Sekunden unerreichbar machen.
Calif kritisiert das fundamentale Protokolldesign: Die HTTP/2-Spezifikation stelle das Speicher-Risiko rein als Verstärkungsverhältnis dar, ohne zu berücksichtigen, dass blockierte Verbindungen Speicher nicht freigeben. Ein theoretischer 70:1-Verstärkungsfaktor sei harmlos, wenn der Speicher sofort nach Anfrage-Ende wieder verfügbar wäre — das sei hier nicht der Fall. Der Defekt liegt damit nicht in Implementierungsfehlern einzelner Hersteller, sondern im Protokolldesign selbst, was eine koordinierte Behebung in allen betroffenen Softwarepaketen erforderlich macht.
Quelle: www.it-daily.net · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.