zurück zum Artikel

DoS-Attacken: Viele Web-Server mit HTTP/2 angreifbar

DoS-Attacken: Viele Web-Server mit HTTP/2 angreifbar

(Bild: geralt)

Forschern zufolge ist ein Großteil von Web-Servern mit HTTP/2 nicht optimal konfiguriert, sodass die Sicherheit gefährdet ist. Patches sind verfügbar.

Aufgrund von nicht optimalen Implementierungen des HTTP/2-Protokolls könnten Angreifer unzählige Web-Server via DoS-Attacken aus dem Verkehr ziehen. Davon sind unter anderem Apple, Facebook und Microsoft betroffen.

Sicherheitsforscher von Netflix und Google sind auf insgesamt acht Schwachstellen gestoßen. Der Schweregrad der Lücken gilt als "hoch".

Laut Statistiken von W3Techs setzen 40 Prozent aller Websites HTTP/2 ein [1]. Dabei handelt es sich um ein erweiterte und verbesserte Variante von HTTP/1.1. Doch mit dem erweiterten Funktionsumfang steigt auch die Komplexität der Implementierung und viele Server sind aufgrund einer nicht optimalen Konfiguration über verschiedene Wege angreifbar.

Im Kern geht es immer darum, dass Angreifer Websites an verschiedenen Stellen mit Anfragen überfluten, sodass diese klein beigeben müssen und nicht mehr erreichbar sind, erläutern Sicherheitsforscher von Netflix in einem Beitrag [2]. In diesen Fällen gelingt das mit Variationen dadurch, dass ein Client eine Antwort von einem verwundbaren Server verlangt, diese dann aber ablehnt.

In dem Beitrag findet man auch die CVE-Nummern und weitere Infos zu den einzelnen Angriffsszenarien. In einer Meldung des CERT der Carnegie Mellon University findet sich eine Liste von Anbietern [3]. Angreifbare Server sind markiert, beim Großteil ist aber noch unklar, ob sie betroffen sind.

In einer Auflistung kann man einsehen [4], welche Produkte, die HTTP/2 mitbringen, mit dem Problem zu kämpfen haben und welche Lücken darin klaffen. Verwundbar sind beispielsweise Nginx von F5, Tomcat von Apache und Windows. Sicherheitsupdates sind zum Teil verfügbar – beispielsweise Microsoft verteilt bereits Patches über Windows Update. Wer betroffene Produkte einsetzt, sollte sich mit dem Anbieter in Verbindung setzen. (des [5])


URL dieses Artikels:
http://www.heise.de/-4496647

Links in diesem Artikel:
[1] https://w3techs.com/technologies/details/ce-http2/all/all
[2] https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md
[3] https://www.kb.cert.org/vuls/id/605641/
[4] https://vuls.cert.org/confluence/pages/viewpage.action?pageId=56393752
[5] mailto:des@heise.de