HTTP/2 Bomb: DoS auf Web-Server (Nginx, Apache HTTPD und Microsoft IIS)

Veröffentlicht am 5. Juni 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Sicherheitsforscher von Calif sind auf eine Schwachstelle in gängigen Webservern gestoßen, die sie HTTP/2 Bomb genannt haben. Ein Notebook sowie eine 100 Mbit-Internetleitung reichen, um gängige Web-Server durch http/2-Anfragen zu einem Speicherüberlauf in die Knie zu zwingen.

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)

Ich bin u.a. über nachfolgenden Tweet auf das Thema gestoßen, welches von den Sicherheitsforschern zum 2. Juni 2026 im Artikel Codex Discovered a Hidden HTTP/2 Bomb dokumentiert wurde.

http/2-Bomb

Die Sicherheitslücke liegt in der Standardkonfiguration von HTTP/2 der jeweiligen Server. Ein Angreifer kann mittels eines Remote-Denial-of-Service-Exploit Angriffe gegen die meisten gängigen Webserver fahren. Betroffen sind mindestens folgende Webserver:

  • nginx
  • Apache httpd
  • Microsoft IIS
  • Envoy
  • Cloudflare Pingora

Der Angriff wurde von Codex entdeckt, das zwei seit einem Jahrzehnt bekannte Techniken miteinander kombinierte: eine Kompressionsbombe und einen Slowloris-ähnlichen Hold. Die Bombe zielt auf HPACK ab, das Header-Kompressionsschema von HTTP/2: Ein Byte auf der Leitung wird zu einer vollständigen Header-Zuweisung auf dem Server, was sich pro Anfrage tausende Male wiederholt. Der Hold ist ein Null-Byte-Flusskontrollfenster, das den Server daran hindert, jemals einen Teil davon freizugeben.

Eine kurze Suche auf Shodan ergab, dass über 880.000 Websites HTTP/2 unterstützen und einen dieser Server betreiben, wobei viele hinter einem CDN sitzen, das viel schwerer lahmzulegen ist.

Ein Heimcomputer mit einer 100-Mbps-Verbindung kann einen anfälligen Server innerhalb von Sekunden unzugänglich machen. Gegen Apache httpd und Envoy kann ein einzelner Client in etwa 20 Sekunden 32 GB Server-Speicher verbrauchen und blockieren.

Bleeping Computer berichtet in diesem Artikel über diese Schwachstelle bzw. die Angriffsmöglichkeit. Leser Robert hat mich zudem auf den Artikel HTTP/2 Bomb legt Webserver in Sekunden lahm bei Golem hingewiesen (danke dafür), der das Problem ebenfalls beschreibt.

Für Nginx und Apache HTTPD gibt es Patches, die im April und Mai 2026 bereitgestellt wurden. Auf X wurde aber der in Windows enthaltene Internet Information Server (IIS) als ungepatcht genannt. Auch Cloudflare Pingora soll bisher ungepatcht sein.

Dieser Beitrag wurde unter Internet, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.