HTTP/2-Bomb-Exploit legt NGINX, Apache und IIS in Sekunden lahm — Proof-of-Concept bereits auf GitHub

Eine neu offengelegte Sicherheitslücke in HTTP/2-Server-Implementierungen – genannt „HTTP/2 Bomb“ und unter CVE-2026-49975 verfolgt – ermöglicht es einem Angreifer, NGINX, Apache HTTP Server, Microsoft IIS, Envoy und Cloudflare Pingora innerhalb von Sekunden zum Absturz zu bringen, und zwar mit einem einzigen System und einer standardmäßigen 100-Mbit/s-Internetverbindung. Das Sicherheitsunternehmen Calif, das den Fehler mit Hilfe von OpenAI Codex entdeckte, veröffentlichte die Details am 2. Juni 2026. Öffentliche Python-Skripte als Proof-of-Concept erschienen am selben Tag auf GitHub.

Die Schwachstelle ist bedeutsam, weil HTTP/2 das Standardprotokoll für moderne Webserver ist – keine optionale Funktion, die Administratoren typischerweise deaktivieren. Jeder Server, der HTTPS-Verbindungen über HTTP/2 mit Standardkonfiguration akzeptiert, ist potenziell gefährdet.

Wie der Angriff funktioniert

Die HTTP/2 Bomb verknüpft zwei Techniken, die einzeln in der Forschungsliteratur existieren, aber bisher nicht zu einem einsatzbereiten Exploit kombiniert wurden. Die erste ist eine Variante einer HPACK-Kompressionsbombe – eine Methode zum Senden von Headern, die beim Dekomprimieren enorme Größen erreichen und unverhältnismäßig viel Speicher auf dem empfangenden Server verbrauchen. Die zweite ist eine Slowloris-artige Verzögerung: absichtliches Verlangsamen der Verbindung, sodass der dekomprimierte Speicher des Servers nicht freigegeben werden kann.

Zusammen nutzen diese beiden Techniken ein spezifisches Verhalten aus, wie HTTP/2-Server-Implementierungen während der Header-Verarbeitung Speicher zuweisen und freigeben. Indem ein Angreifer manipulierte komprimierte Header sendet und dann die Verbindung offen hält, ohne die Anfrage abzuschließen, verursacht er eine schnelle, fortschreitende Speichererschöpfung auf dem Server. Anders als volumetrische DDoS-Angriffe, die massive Bandbreite erfordern, funktioniert dieser Exploit mit minimalem Durchsatz – Forscher von Calif demonstrierten Abstürze mit nur 100 Mbit/s von einem einzelnen Rechner.

Was gepatched ist, was nicht

Bis zum 6. Juni haben zwei große Serverprojekte Fixes veröffentlicht. NGINX behob die Schwachstelle in Version 1.29.8. Apache HTTP Server patchte sie in mod_http2 Version 2.0.41, wo die CVE offiziell als CVE-2026-49975 zugewiesen ist. HAProxy gilt als inhärent resistent gegen diesen Exploit oder kann so konfiguriert werden, dass er ihn blockiert.

Microsoft IIS, Envoy und Cloudflare Pingora hatten bis zum 2. Juni, dem Zeitpunkt der ersten Offenlegung, keine bestätigten Patches veröffentlicht. Envoy verfolgt ein verwandtes Problem als CVE-2026-47774. Administratoren, die diese Server betreiben, sollten die Herstellerhinweise genau beobachten.

Möglichkeiten zur Abschwächung

Für Organisationen, die NGINX oder Apache nicht sofort aktualisieren können, empfiehlt Calif drei Übergangsoptionen. Erstens: exponierte Server hinter einem Reverse Proxy, einer Web Application Firewall (WAF) oder einem Layer-7-Load-Balancer mit aktiviertem HTTP/2-Schutz isolieren – HAProxy kann den Angriff bei richtiger Konfiguration abfangen. Zweitens: HTTP/2 auf Serverebene deaktivieren; dies beeinträchtigt die Leistung, beseitigt aber die Angriffsfläche. Drittens: Ratenbegrenzung (Rate Limiting) auf die Header-Verarbeitung in der Eingangsschicht anwenden.

Die Deaktivierung von HTTP/2 serverweit hat echte Leistungskosten – das Protokoll existiert, weil HTTP/1.1 für den meisten Webverkehr deutlich langsamer ist – daher sollte es als vorübergehende Maßnahme und nicht als dauerhafte Abschwächung betrachtet werden.

Der OpenAI-Codex-Aspekt

Die Offenlegung von Calif weist darauf hin, dass CVE-2026-49975 mithilfe von OpenAI Codex als Analyseinstrument während einer gezielten Überprüfung von HTTP/2-Server-Implementierungen entdeckt wurde. Der Fund reiht sich in ein wachsendes Muster KI-gestützter Schwachstellenforschung ein: dasselbe Claude Opus 4.8-Modell fand den letzte Woche offengelegten Zcash-Halo2-Double-Spend-Bug, und mehrere aktuelle CVEs in weit verbreiteten Open-Source-Projekten haben KI-Code-Review-Tools für ihre Entdeckung gewürdigt.

Dies ist keine passive Beobachtung – es ist eine Dynamik eines Wettrüstens. Dieselben Werkzeuge, die defensiven Forschern zur Verfügung stehen, stehen auch offensiven Akteuren zur Verfügung. Organisationen, die HTTP/2-Server betreiben, sollten die öffentliche Verfügbarkeit von PoC-Code als eine signifikante Eskalation des Risikos betrachten und das Patchen entsprechend priorisieren.