Auf den Punkt: Angreifer können über einen einzigen HTTP/2-Client Webserver durch Speicherzuteilung blockieren, ohne großen Ressourcenaufwand oder Botnetz-Infrastruktur zu benötigen.
Eine Sicherheitslücke in HTTP/2-Implementierungen ermöglicht es, mit minimalem Aufwand den Speicher von Webservern wie Nginx, Apache HTTPD und Microsoft IIS auszuschöpfen und diese innerhalb von Sekunden zur Dienstverweigerung zu bringen.
Die Schwachstelle betrifft weit verbreitete Webserver-Plattformen: Nginx, Apache HTTPD und Microsoft IIS sind anfällig für einen HTTP/2-basierten Denial-of-Service-Angriff. Ein einzelner Client genügt, um die Speicherressourcen erschöpfend auszulösen und den Dienst in kurzer Zeit zum Erliegen zu bringen.
Für eine CISO ist dieser Vektor besonders kritisch, da die Attacke mit minimalen technischen Hürden durchführbar ist. Im Gegensatz zu klassischen DDoS-Angriffen erfordert diese Methode keine verteilte Infrastruktur oder hohe Bandbreitenausstattung des Angreifers. Dies senkt die Einstiegshürde und erhöht das Risiko spontaner oder opportunistischer Angriffe auf exponierte Webinfrastruktur.
Betroffene Unternehmen sollten die HTTP/2-Implementierungen ihrer Webserver priorisiert überprüfen und verfügbare Sicherheits-Patches einspielen. Zugleich empfiehlt sich die Überprüfung von Monitoring- und Alerting-Mechanismen, um anomale Speicherallokationen in Echtzeit zu detektieren. Auf Perimeter-Ebene können Rate-Limiting und Connection-Limits bei HTTP/2 als Zwischenschritt zur Risikoreduzierung beitragen, bis Patches vorhanden sind.
Quelle: www.golem.de · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.