Es wurde eine kritische Schwachstelle im HTTP/2-Protokoll entdeckt, die Remote-Denial-of-Service-Angriffe ermöglicht. Beliebte Server wie NGINX, Apache, IIS, Envoy und Cloudflare sind betroffen. Angreifer können Websites offline schalten und damit Einkäufe, Behördengänge oder alltägliche Informationen beeinträchtigen. Die sofortige Lösung ist das Einspielen von Sicherheitspatches, um Ausfälle kritischer Dienste zu vermeiden.
Der Fehler nutzt das Stream-Management in HTTP/2 aus 🔥
Die Schwachstelle liegt darin, wie HTTP/2 gleichzeitige Streams verwaltet. Ein Angreifer sendet mehrere Anfragen, die den Server zwingen, Speicher und CPU zu verbrauchen, bis er zusammenbricht. Betroffen sind Standardkonfigurationen von NGINX, Apache, IIS und Envoy. Cloudflare hat bereits Gegenmaßnahmen implementiert, aber Administratoren müssen ihre Versionen überprüfen. Ohne Patch kann ein einziger Angriff einen kritischen Dienst lahmlegen, ohne dass eine große Bandbreite erforderlich ist.
Ein weiterer Grund, als Sysadmin nicht ruhig zu schlafen 😅
Falls du nicht schon genug damit zu tun hattest, Log4j, SSL und den Kernel jeden Dienstag zu patchen, beschert dir HTTP/2 jetzt einen neuen Albtraum. Das Beste daran ist, dass der Fehler es ermöglicht, deinen Server mit weniger Aufwand lahmzulegen, als du brauchst, um zu rechtfertigen, warum du nicht aktualisiert hast. Also, du weißt Bescheid: Kaffee, Patch und beten, dass die Angreifer an einem Sonntag Besseres zu tun haben.