![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sicherheitsforscher von Calif sind auf eine Schwachstelle in g\u00e4ngigen Webservern gesto\u00dfen, die sie HTTP\/2 Bomb genannt haben. Ein Notebook sowie eine 100 Mbit-Internetleitung reichen, um g\u00e4ngige Web-Server durch http\/2-Anfragen zu einem Speicher\u00fcberlauf in die Knie zu zwingen.<\/p>\n
<\/p>\n
Die Sicherheitsl\u00fccke liegt in der Standardkonfiguration von HTTP\/2 der jeweiligen Server. Ein Angreifer kann mittels eines\u00a0Remote-Denial-of-Service-Exploit Angriffe gegen die meisten g\u00e4ngigen Webserver fahren. Betroffen sind mindestens folgende Webserver:<\/p>\n Der Angriff wurde von Codex entdeckt, das zwei seit einem Jahrzehnt bekannte Techniken miteinander kombinierte: eine Kompressionsbombe und einen Slowloris-\u00e4hnlichen Hold. Die Bombe zielt auf HPACK ab, das Header-Kompressionsschema von HTTP\/2: Ein Byte auf der Leitung wird zu einer vollst\u00e4ndigen Header-Zuweisung auf dem Server, was sich pro Anfrage tausende Male wiederholt. Der Hold ist ein Null-Byte-Flusskontrollfenster, das den Server daran hindert, jemals einen Teil davon freizugeben.<\/p>\n Eine kurze Suche auf Shodan ergab, dass \u00fcber 880.000 Websites HTTP\/2 unterst\u00fctzen und einen dieser Server betreiben, wobei viele hinter einem CDN sitzen, das viel schwerer lahmzulegen ist.<\/p>\n Ein Heimcomputer mit einer 100-Mbps-Verbindung kann einen anf\u00e4lligen Server innerhalb von Sekunden unzug\u00e4nglich machen. Gegen Apache httpd und Envoy kann ein einzelner Client in etwa 20 Sekunden 32 GB Server-Speicher verbrauchen und blockieren.<\/p>\n Bleeping Computer berichtet in diesem Artikel<\/a> \u00fcber diese Schwachstelle bzw. die Angriffsm\u00f6glichkeit. Leser Robert hat mich zudem auf den Artikel\u00a0HTTP\/2 Bomb legt Webserver in Sekunden lahm<\/a> bei Golem hingewiesen (danke daf\u00fcr), der das Problem ebenfalls beschreibt.<\/p>\n F\u00fcr Nginx und Apache HTTPD gibt es Patches, die im April und Mai 2026 bereitgestellt wurden. Auf X wurde aber der in Windows enthaltene Internet Information Server (IIS) als ungepatcht genannt. Auch Cloudflare Pingora soll bisher ungepatcht sein.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher von Calif sind auf eine Schwachstelle in g\u00e4ngigen Webservern gesto\u00dfen, die sie HTTP\/2 Bomb genannt haben. Ein Notebook sowie eine 100 Mbit-Internetleitung reichen, um g\u00e4ngige Web-Server durch http\/2-Anfragen zu einem Speicher\u00fcberlauf in die Knie zu zwingen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426,7459],"tags":[4338,4328,3836],"class_list":["post-325964","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","category-software","tag-internet","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325964"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325964\/revisions"}],"predecessor-version":[{"id":325966,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325964\/revisions\/325966"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325964"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich bin u.a. \u00fcber nachfolgenden Tweet auf das Thema gesto\u00dfen, welches von den Sicherheitsforschern zum 2. Juni 2026 im Artikel Codex Discovered a Hidden HTTP\/2 Bomb<\/a> dokumentiert wurde.<\/p>\n
![\"http\/2-Bomb\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/http2-Bomb.jpg\")
<\/p>\n\n