Auf den Punkt: HTTP/2-Standardkonfigurationen in NGINX, Apache, IIS, Envoy und Cloudflare Pingora ermöglichen Remote-Denial-of-Service-Attacken.
Sicherheitsforscher haben eine Remote-DoS-Schwachstelle in den Standard-HTTP/2-Konfigurationen von NGINX, Apache HTTPD, Microsoft IIS, Envoy und Cloudflare Pingora identifiziert. Die als HTTP/2 Bomb bezeichnete Lücke betrifft zentrale Internet-Infrastruktur und erfordert sofortige Aufmerksamkeit auf Seite der Infrastruktur-Verantwortlichen.
Die Schwachstelle existiert in den Standardeinstellungen der HTTP/2-Implementierung mehrerer marktführender Web-Server. Betroffen sind NGINX, Apache HTTPD, Microsoft IIS, Envoy und Cloudflare Pingora – zusammen ein großer Anteil der weltweit eingesetzten Web-Server-Basis. Das Fehler ermöglicht es Angreifern, Remote-Denial-of-Service-Attacken durchzuführen.
Die Lücke wurde von Sicherheitsforschern entdeckt und unter dem Namen HTTP/2 Bomb katalogisiert. Die Anfälligkeit liegt in den jeweiligen Standard-Konfigurationen der HTTP/2-Unterstützung begründet – nicht in individuellen Custom-Setups. Dies bedeutet, dass unzählige Installationen ohne zusätzliches Zutun des Betreibers gefährdet sind.
Für CISOs bedeutet dies eine Priorisierung von Patching und Konfigurationshärtung. Alle Systeme, die HTTP/2 nutzen, sollten auf verfügbare Sicherheitsupdates der Hersteller überprüft werden. Parallel sollten Web-Application-Firewall-Regeln und Rate-Limiting-Strategien evaluiert werden, um DoS-Attacken grundsätzlich zu erschweren. Gleichzeitig muss die Compliance mit NIS2 betrachtet werden, die verlangt, dass kritische Sicherheitslücken in Betreiberpflicht-Assets zeitnah behoben werden.
Quelle: thehackernews.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.