Forscher und Behörden warnen vor Angriffen, die selbst große Server lahmlegen können.
Die „HTTP/2-Bombe“: Ein neuer Albtraum für Admins
Ein besonders tückischer Exploit namens „HTTP/2 Bomb“ sorgt derzeit für Alarm in der IT-Sicherheitsbranche. Die Methode kombiniert Techniken aus HPACK-Kompressionsangriffen mit den altbekannten „Slowloris“-Halteverfahren, um Serverspeicher gezielt zu erschöpfen. Ein einziger Angreifer kann damit innerhalb von rund 20 Sekunden bis zu 32 Gigabyte Arbeitsspeicher auf einem Zielserver verbrauchen.
Betroffen sind Schätzungen zufolge mehr als 880.000 Websites weltweit. Während für die verbreiteten Server NGINX und Apache HTTPD bereits Patches vorliegen, bleiben andere Plattformen ungeschützt. Für Microsoft IIS, Envoy und Cloudflares Pingora gibt es bislang keine Sicherheitsupdates. Experten raten Unternehmen, die keine sofortigen Patches einspielen können, als Übergangslösung die Unterstützung von HTTP/2 zu deaktivieren.
Apache-Schwachstelle erlaubt Code-Ausführung
Parallel dazu wurde eine kritische Sicherheitslücke im Apache HTTP Server aufgedeckt. Die Schwachstelle CVE-2026-23918 betrifft Version 2.4.66 und steckt im Modul mod_http2. Es handelt sich um einen sogenannten Double-Free-Fehler, der sowohl Denial-of-Service-Angriffe als auch die Fernausführung von Schadcode (RCE) ermöglicht. Entdeckt wurde die Lücke von den polnischen Forschern Bartlomiej Dmitruk und Stanislaw Strzalkowski. Administratoren sollten umgehend auf Version 2.4.67 aktualisieren.
Alibabas XQUIC-Bibliothek: 260 Bytes reichen für den Absturz
Ein weiteres ungepatchtes Problem trägt den Namen „XRING“ und betrifft Alibabas XQUIC-Bibliothek. Diese kommt unter anderem bei Taobao und Alipay für HTTP/3-Verkehr zum Einsatz. Die von FoxIO Anfang Juli offengelegte Schwachstelle erlaubt es Angreifern, Server mit nur etwa 260 Bytes legalen Datenverkehrs zum Absturz zu bringen. Obwohl Alibaba bereits im April informiert wurde, fehlt für die Versionen bis 1.9.4 weiterhin ein offizieller Patch. Als Workaround empfehlen Sicherheitsexperten, die maximale QPACK-Tabellenkapazität auf null zu setzen.
Die HTTP/2-Bombe kann Ihren Server in 20 Sekunden mit 32 GB Speicherverbrauch lahmlegen – und für IIS, Envoy und Pingora gibt es noch keinen Patch. Dieser Report liefert die Sofortmaßnahmen-Checkliste, Patch-Status und einen Notfallplan. Jetzt kostenlosen Report anfordern
Künstliche Intelligenz entdeckt 15 Jahre alten Kernel-Fehler
KI-Systeme spielen eine wachsende Rolle bei der Aufspürung tief verborgener Sicherheitsrisiken. Das Unternehmen Nebula Security gab die Entdeckung von „GhostLock“ (CVE-2026-43499) bekannt – einer Schwachstelle im Linux-Kernel, die seit Version 2.6.39 aus dem Jahr 2011 existiert.
Gefunden wurde der Fehler von der KI-Agentin VEGA. Die Erfolgsrate für Exploits liegt bei beachtlichen 97 Prozent über alle großen Linux-Distributionen hinweg. Der Fehler wurde in Kernel-Version 7.1 behoben. Google zahlte für die Identifizierung dieser 15 Jahre alten Sicherheitslücke eine Prämie von über 92.000 Euro.
Hosting-Panels und PHP im Visier von Angreifern
Auch die Verwaltungswerkzeuge der Internet-Infrastruktur stehen unter Beschuss. Die US-Behörde CISA hat die Schwachstelle CVE-2026-48172 im LiteSpeed-cPanel-Plugin in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Fehler erlaubt eine Rechteausweitung bis hin zu Root-Zugriff und wird seit Anfang Juni aktiv ausgenutzt.
Für PHP-Umgebungen besteht akute Gefahr durch CVE-2026-6722, eine Use-After-Free-Schwachstelle in der SOAP-Erweiterung mit einem CVSS-Score von 9,8 (kritisch). Bereits 72 Stunden nach der Offenlegung am 12. Juli verzeichneten Sicherheitsmonitore einen sprunghaften Anstieg automatisierter Scans.
Während NGINX und Apache bereits Patches haben, bleiben IIS, Envoy und Pingora ungeschützt – und Angreifer nutzen das aus. Erhalten Sie eine Übersicht aller betroffenen Server und eine Schritt-für-Schritt-Anleitung, wie Sie Ihre Infrastruktur bis zum Patch absichern. Sicherheits-Checkliste jetzt sichern
Weitere wichtige Sicherheitsupdates betreffen:
* Zimbra: Ein Patch für eine kritische Stored-XSS-Lücke im Classic Web Client wurde am 7. Juli veröffentlicht.
* Redis: Eine 13 Jahre alte Lua-Scripting-Schwachstelle (CVE-2025-49844) erlaubt Sandbox-Escapes. Obwohl der Fix bereits im Oktober 2025 kam, sind schätzungsweise 330.000 Instanzen weiterhin ungeschützt im Netz erreichbar.
* Node.js: Mitte Juli wurde ein Update für CVE-2026-33128 veröffentlicht, eine SSE-Injection-Schwachstelle im h3-Framework.
Das SANS Internet Storm Center bewertete die aktuelle Bedrohungslage am 13. Juli als kritisch. Viele der Schwachstellen seien entweder trivial auszunutzen oder würden bereits aktiv in freier Wildbahn eingesetzt.

