Auf den Punkt: Ein Speicherleck in HTTP/2-Implementierungen ermöglicht DoS-Attacken auf Nginx, Apache HTTPD und Microsoft IIS bereits mit einer 100-Mbit-Leitung und Standard-Hardware.
Sicherheitsforscher haben eine Schwachstelle in weit verbreiteten Webservern entdeckt, über die ein einzelner Angreifer mit minimaler Bandbreite Server durch gezielt konstruierte HTTP/2-Anfragen zum Absturz bringen kann.
Forscher der Universität Kalifornien haben eine Schwachstelle in den HTTP/2-Implementierungen von Nginx, Apache HTTPD und Microsoft IIS identifiziert, die sie HTTP/2 Bomb benannt haben. Die Lücke ermöglicht es, dass speziell konstruierte HTTP/2-Anfragen zu Speicherüberläufen führen und dadurch eine Denial-of-Service-Bedingung auslösen.
Das Bemerkenswerte an dieser Schwachstelle ist die niedrige Hürde für einen erfolgreichen Angriff: Ein einzelner Angreifer benötigt lediglich ein Notebook und eine Standard-Internetverbindung mit 100 Mbit/s Bandbreite, um einen anfälligen Webserver in die Knie zu zwingen. Dies macht die Lücke zu einer praktisch relevanten Bedrohung für exponiert betriebene Infrastruktur.
Für CISOs bedeutet dies eine unmittelbare Handlungsnotwendigkeit: Betroffene Systeme sollten auf verfügbare Sicherheitspatches überprüft werden. Gleichzeitig können Mitigationsmaßnahmen wie die Limitierung von gleichzeitigen HTTP/2-Verbindungen oder die Implementierung von Rate-Limiting auf HTTP/2-Stream-Ebene kurzfristig zum Einsatz kommen.
Quelle: borncity.com · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.