CVE-2026-49975 erschöpft Webserver-RAM mit einem Byte HTTP/2 Bomb crasht Webserver in Sekunden

Anbieter zum Thema

Aagon GmbH

sysob IT-Distribution GmbH & Co. KG

Fujitsu Technology Solutions GmbH

Ein neu entdeckter Angriff macht es möglich, Webserver von einem einzigen Heimrechner aus binnen Sekunden zum Absturz zu bringen. HTTP/2 Bomb nutzt dafür eine Kombination aus Header-Komprimierung und gezielter Verbindungssteuerung, die den Arbeitsspeicher unaufhaltsam füllt. Für mehrere verbreitete Server sind noch keine Patches verfügbar.

Forscher der Offensive-Security-Firma Calif beschreiben mit HTTP/2 Bomb eine Methode, die zwei bekannte HTTP/2-Schwächen verbindet. Entdeckt hat die Kombination der KI-Agent Codex von OpenAI unter Anleitung des Teams. Ein Heimrechner an einer 100-Mbit/s-Leitung genügt, um einen verwundbaren Server unerreichbar zu machen. Anfällig sind die Standard­kon­fi­gu­ra­ti­onen von Envoy, Apache HTTP Server, Microsoft IIS, NGINX und Cloudflare Pingora. Die Schwachstelle trägt in der Apache-Implementierung die Kennung CVE-2026-49975.

Windows-Denial-of-Service-Schwachstellen

0patch schließt RasMan-Absturzlücke vor Microsoft

Eine HPACK-Referenz vervielfacht die Speicherlast

HPACK komprimiert die Header im HTTP/2-Protokoll. Der Angriff legt einen Header in die dynamische HPACK-Tabelle und referenziert ihn wiederholt über eine kompakte indexierte Darstellung von einem Byte. Aus einem Byte auf der Leitung wird eine vollständige Header-Allokation auf dem Server, tausendfach je Anfrage. Envoy und Apache httpd zeigen die höchsten Verhältnisse mit 5.700:1 und 4.000:1.

Der zweite Teil hält den belegten Speicher dauerhaft. Der Client kündigt ein Flow-Control-Fenster von null Byte an. Statt einer Antwort sendet der Client periodisch winzige WINDOW_UPDATE-Frames, um Server-Timeouts zu umgehen. Die Anfrage schließt nie ab, der reservierte Speicher wächst ohne Freigabe. Bestehende Schutzmechanismen, darunter Limits auf die gesamte dekodierte Header-Größe, greifen nicht, denn die Header-Werte bleiben winzig. Die Amplifikation stammt aus der internen Buchführung je Header und den zugehörigen Allokationen.

Fuse und Undertow

Schwachstellen in Red Hat ermöglichen DoS, Remote Code und Datendiebstahl

Tests zeigen den Speicherverbrauch je Server

In den Messungen erschöpfte ein einzelner Client gegen Envoy 1.37.2 binnen rund zehn Sekunden 32 GByte RAM, gegen Apache httpd 2.4.67 nach knapp 18 Sekunden denselben Wert. NGINX 1.29.7 erreichte 32 GByte nach gut 45 Sekunden, der IIS auf Windows Server 2025 belegte in derselben Zeitspanne 64 GByte. Proof-of-Concept-Exploits liegen bereits öffentlich vor.

Patches für NGINX und Apache, Schutzoptionen für die übrigen

NGINX behebt das Problem in Version 1.29.8 über die neue Direktive "max_headers". Apache httpd schließt die Lücke in mod_http2 2.0.41, dort hat sie die Kennung CVE-2026-49975. Für Microsoft IIS, Envoy und Cloudflare Pingora liegt zum jetzigen Zeitpunkt kein Patch vor. Auf diesen Systemen empfiehlt sich die Deaktivierung von HTTP/2, soweit machbar, sowie ein vorgelagerter Proxy oder eine Firewall mit harten Grenzen für die Header-Anzahl. Aufbauten hinter einem CDN oder Reverse Proxy exponieren den verwundbaren HTTP/2-Endpunkt nicht und sind schwerer erreichbar. Cloudflare gibt an, seine Kunden über die automatischen DDoS-Schutzmaßnahmen bereits abzusichern.

Bitbucket, Confluence und mehr betroffen

Remote-Code und Denial-of-Service-Angriffe bei Atlassian möglich

Fazit

Die Wirkung des Angriffs ergibt sich aus der Verbindung zweier für sich bekannter Techniken. Die HPACK-Spezifikation benennt das Amplifikationsrisiko, lässt aber offen, was bei dauerhaft gehaltenem Speicher über die Flow-Control geschieht. Die vollständigen technischen Details sind für diesen Monat auf der Konferenz Real World AI Security angekündigt.

(ID:50866313)