HTTP/2-Bombe: Remote DoS-Exploit trifft nginx, Apache, IIS, Envoy und Cloudflare Pingora

Was diese Variante neuartig macht, sind nicht die zugrundeliegenden Bausteine selbst, sondern die präzise Art ihrer Kombination sowie, entscheidend, der Ursprung der Verstärkung. HTTP/2 Bomb Remote DoS Exploit HPACK (RFC 7541) ist der zustandsbehaftete Header-Kompressionsmechanismus /2.

Jeder Peer führt eine dynamische Tabelle mit kürzlich gesehenen Headern; ein Sender kann einen Header einmal einfügen und ihn anschließend mit einem einzigen Byte-Index referenzieren. Der Empfänger muss auf jeder Referenz eine vollständige Kopie dieses Headers materialisieren.

Nach Angaben Phan füllt der Angriff die dynamische Tabelle mit einem einzigen Header aus und sendet in einer einzigen Anfrage Tausende 1-Byte-Indexierung. Dies kostet den Angreifer nur ein einzelnes Netzwerkbajt, zwingt den Server jedoch, pro Referenz zwischen etwa 70 Bytes (nginx, IIS, Pingora) und etwa 4.000 Bytes (Apache httpd, Envoy) zu allozieren.

Sicherheitslage und Risiko

Der zweite Angriffsvektor nutzt die pro-Stream-Flusssteuerung /2 (RFC 9113). Der Kunde bewirbt ein Fenster mit 0-Byte-Größe, wodurch der Server seine Antwort niemals abschließen kann.

Ein kontinuierlicher Strom aus 1-Byte WINDOW_UPDATE-Rahmen setzt die Sendetimeout-Werte ständig zurück und hält jede Speicherzuweisung so lange wie gewünscht vom Angreifer fest, wodurch eine vorübergehende Amplifikation in einen anhaltenden Speicherverbrauch umgewandelt wird.

Angriff auf mehrere Betriebssysteme: Server | Verstärkung | Demo-Ergebnis Envoy 1.37.2 | ca. 5.700:1 | ca. 32 GB in ca. 10 Sekunden Apache httpd 2.4.67 | ca. 4.000:1 | ca. 32 GB in ca. 18 Sekunden nginx 1.29.7 | ca. 70:1 | ca. 32 GB in ca. 45 Sekunden Microsoft IIS (Windows Server 2025) | ca. 68:1 | ca. 64 GB in ca.

Technischer Hintergrund

45 Sekunden Laut Quang Luong hat eine Shodan-Analyse mehr als 880.000 öffentlich zugängliche Websites identifiziert, die HTTP/2 unterstützen und einen dieser Server betreiben, wobei viele davon durch CDNs geschützt sind, was die direkte Exposition verringert.

Bei Servern, die die Anzahl der Header-Felder statt der entschlüsselten Größe begrenzen (Apache, Envoy), nutzt der Angriff einen Umgehungsmechanismus über den Cookie-Header. RFC 9113 §8.2.3 erlaubt ausdrücklich, einen Cookie-Header in ein Feld pro „Crumb" aufzuteilen. Weder Apache noch Envoy zählten diese Crumbs gegen die Feldbegrenzung an.

Envoy fügt jeden Crumb in einen Puffer ein; ein Cookie-Wert von 4 KB, der 32.768 Mal referenziert wird, erzeugt ein logisches Verhältnis. 3.600:1, während die gemessenen RSS-Verhältnisse auf einem einzelnen Stream nach Ansammlung. 5.700:1 erreichen.

Technik und Auswirkungen

Apache httpd rekonstruiert bei jedem Crumb die gesamte verschmolzene Cookie-Kette neu und lässt ältere Kopien bis zur Stream-Reinigung aktiv, was selbst bei einem leeren Cookie eine Verstärkung 4.000:1 ergibt. Die Apache httpd-Variante wurde nach einer verantwortungsvollen Offenlegung am 27.

Mai 2026 mit der CVE-ID CVE-2026-49975 versehen; Stefan Eissing übernahm am selben Tag die Behebung. Die nginx-Reparatur wurde in Version 1.29.8 veröffentlicht und führt die max_headers-Richtlinie mit einem standardmäßigen Limit von 1.000 Kopfzeilen ein.

Zu den früheren verwandten CVEs zählen CVE-2016-6581 (ursprünglicher HPACK-Bomb, ägt), CVE-2025-53020 (Apache httpd mit einer Verstärkung 4.000:1, ), CVE-2016-8740 sowie CVE-2016-1546.

Sicherheitslage und Risiko

Minderungsmaßnahmen: - nginx: Upgrade auf Version 1.29.8 oder höher; falls dies nicht möglich ist, deaktivieren Sie HTTP/2. - Apache httpd: Installieren Sie mod_http2 Version 2.0.41 aus den Standalone-Releases; andernfalls setzen Sie Protocols auf http/1.1, um HTTP/2 zu deaktivieren. - Microsoft IIS, Envoy, Cloudflare, Pingora: Zum Zeitpunkt der Erstellung steht kein Patch zur Verfügung; deaktivieren Sie HTTP/2 oder stellen Sie die Dienste vor einem Proxy, der eine feste Obergrenze für die Anzahl der Header pro Anfrage durchsetzt. - Alle Server: Begrenzen Sie den pro Worker verfügbaren Speicher mittels cgroups, ulimit -v oder Container-Limits.

Ein durch OOM-Killed abgestürzter Worker, der neu gestartet wird, ist ein weit besserer Fehlermodus als ein System, das in den Swap getrieben wird. Das Forschungsteam kommt zu dem Schluss, dass die Schwachstellenklasse auf einem Spezifikationsfehler in RFC 7541 beruht.

Abschnitt 7.3 betrachtet das Speicherrisiko ausschließlich als Amplifikationsverhältnis und behandelt SETTINGS_HEADER_TABLE_SIZE als ausreichende Begrenzung.

Sicherheitslage und Risiko

Dabei wird der pro Eintrag anfallende Verwaltungsaufwand nicht berücksichtigt; die Amplifikation in diesem Exploit entsteht vollständig durch Allokator-Metadaten für nahezu leere Header und umgeht jede Begrenzung der dekodierten Größe. Fünf unabhängige Implementierungen haben denselben Abschnitt gelesen und denselben Fehler ausgeliefert.

Proof-of-Concept-Skripte, Docker-Labore und Server-spezifische Anleitungen sind im Codex-GitHub-Repository verfügbar. Der Forscher Quang Luong wird die Techniken auf der Real World AI Security-Konferenz an der Stanford-Universität im Juni 2026 vorstellen. Kostenloses Webinar zu OWASP API Top 10 und Leitfaden zur Schließung ücken mit WAAP.

Der Beitrag „HTTP/2 Bomb – Remote DoS-Exploit trifft nginx, Apache, IIS, Envoy und Cloudflare Pingora" erschien erstmals auf Cyber Security News.