Die Sicherheitslücke HTTP/2 Bomb gefährdet Webserver weltweit. Wie it-daily berichtet, kann ein einzelner Client mit einer speziell präparierten HTTP/2-Anfrage einen Server innerhalb von Sekunden lahmlegen. Betroffen sind die weit verbreiteten Webserver NGINX, Apache HTTPD und Microsoft IIS.
Die Schwachstelle nutzt eine Schwäche im HTTP/2-Protokoll aus. Durch die Bomb-Anfrage wird der Arbeitsspeicher des Servers überlastet, was zu einem Denial-of-Service (DoS) führt. Angreifer benötigen dafür keine besonderen Rechte oder große Bandbreite.
Administratoren sollten umgehend Patches der Hersteller einspielen oder alternative Schutzmaßnahmen ergreifen. Details zur genauen Funktionsweise der Lücke wurden bereits veröffentlicht.
Quelle: www.it-daily.net
