Ein einziger Angreifer, ein normaler Heimanschluss mit 100 Mbit/s, zwanzig Sekunden Zeit: Das soll reichen, um einen Apache- oder NGINX-Server dauerhaft zum Absturz zu bringen. Sicherheitsforscher von Calif haben eine neue Denial-of-Service-Schwachstelle veröffentlicht, die sie „HTTP/2 Bomb“ nennen. Betroffen sind NGINX, Apache HTTPD, Microsoft IIS, Envoy und Cloudflare Pingora — also praktisch jeder gängige Webserver. Patches existieren bislang nur für zwei davon.
Wie die Bombe zündet: HPACK-Komprimierung als Waffe
Der Angriff kombiniert zwei HTTP/2-Mechanismen, die für sich genommen harmlos sind. Erstens das HPACK-Kompressionssystem: Jedes einzelne Byte auf der Leitung erzeugt auf dem Server eine vollständige Header-Allokation — multipliziert über Tausende von Anfragen pro Verbindung. Zweitens ein auf null gesetztes Flow-Control-Fenster, das verhindert, dass der Server den allokierten Speicher jemals wieder freigibt. Die Kombination macht den Angriff besonders tückisch: Er ist keine klassische Traffic-Flut, sondern ein präziser Speicher-Angriff unterhalb der Request-Ebene — Ratenlimitierung greift hier nicht.
Laut The Hacker News soll ein einzelner Client gegen Apache HTTPD und Envoy in rund 20 Sekunden 32 GB Arbeitsspeicher verbrauchen — bislang von einer Quelle berichtet, ein unabhängiger Gegentest steht aus. Entdeckt wurde die Schwachstelle von Forschern bei Calif, die dafür OpenAI Codex eingesetzt haben: Das Modell kombinierte bekannte Angriffstechniken aus früheren HTTP/2-Schwachstellen — darunter CVE-2016-6581 und CVE-2025-53020 — systematisch zu einer neuen Variante. Bei meinen Kunden laufen viele Webserver noch mit Standard-Konfigurationen, die laut dem Bericht anfällig sind. Update-Disziplin ist leider keine Selbstverständlichkeit, und mit dieser Lücke ändert sich das Kalkül deutlich.
Zwei Patches, drei offene Baustellen
NGINX hat mit Version 1.29.8 reagiert: Eine neue max_headers-Direktive begrenzt Header-Einträge standardmäßig auf 1000 und schließt den Angriffsvektor. Für Apache HTTPD steht mit mod_http2 v2.0.41 ebenfalls ein Patch bereit. Wer einen dieser Server betreibt, sollte jetzt updaten — nicht nächste Woche.
Microsoft IIS, Envoy und Cloudflare Pingora hatten zum Zeitpunkt der Veröffentlichung noch keinen Fix. Cloudflare hat die Plattformkontrolle, um schnell nachzuziehen; bei IIS hängt das am Windows-Update-Zyklus, was in vielen Unternehmensumgebungen Wochen bedeuten kann. Wer nicht sofort patchen kann, hat einen sauberen Workaround: HTTP/2 auf dem Server komplett deaktivieren und vorübergehend auf HTTP/1.1 zurückfallen. Das kostet Performance — eliminiert aber den Angriffsvektor vollständig.
KI-Modelle, die bekannte CVEs durchkämmen und neu kombinieren, werden die Angriffsfläche in den nächsten Jahren systematisch ausweiten. Dass diesmal OpenAI Codex das Werkzeug war, ist ein Zufall des Timings, keine Besonderheit des Modells. Defensive Teams brauchen dieselben Methoden — und das früher als bisher. NGINX- und Apache-Admins haben heute die einfache Antwort: ein Update. Wer auf IIS, Envoy oder Cloudflare setzt, schaltet HTTP/2 vorübergehend ab oder wartet auf den Patch der jeweiligen Anbieter.
