Angreifer können aufgrund von nicht optimalen Implementierungen des HTTP/2-Protokolls unzählige Web-Server via DoS-Attacken schädigen. Davon sind unter anderem Apple, Facebook und Microsoft betroffen. Auf insgesamt acht Schwachstellen sind Sicherheitsforscher von Netflix und Google gestoßen. Dabei gilt der Schweregrad der Lücken als "hoch".

Statistiken von W3Techs zufolge setzen 40 Prozent aller Websites HTTP/2 ein. Das Protokoll ist eine erweiterte und verbesserte Variante des HTTP/1.1-Protokolls. Jedoch steigt mit dem erweiterten Funktionsumfang auch die Komplexität der Implementierung. Das führt dazu, dass viele Server aufgrund einer nicht optimalen Konfiguration über verschiedene Wege angreifbar sind.

Einem Beitrag dazu kann die CVE-Nummern und weitere Infos zu den einzelnen Angriffsszenarien entnommen werden. Ebenfalls kann einer Auflistung entnommen werden, welche Produkte, die HTTP/2 mitbringen, mit dem Problem zu kämpfen haben und welche Lücken vorhanden sind. Beispielsweise sind Nginx von F5, Tomcat von Apache und Windows verwundbar. Zum Teil sind Sicherheitsupdates verfügbar – beispielsweise Microsoft verteilt bereits Patches über Windows Update.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE