Ein neuer Sicherheitshinweis warnt davor, dass ein entfernter, anonymer Angreifer eine Schwachstelle in mehreren HTTP/2-Serverimplementierungen ausnutzen kann, um einen Denial-of-Service-Angriff zu starten. Laut CERT-Bund betrifft die LĂĽcke insbesondere den Apache Traffic Server, aber auch weitere Server, die das HTTP/2-Protokoll unterstĂĽtzen.
Technische Details
Die betroffene Schwachstelle ermöglicht es dem Angreifer, speziell formatierte HTTP/2-Frames zu senden, die zu einer Überlastung der Serverressourcen führen. Durch die fehlerhafte Verarbeitung dieser Frames kann der Server abstürzen oder nicht mehr auf legitime Anfragen reagieren.
Betroffene Systeme
Nach Angaben von CERT-Bund sind neben dem Apache Traffic Server weitere Implementierungen von HTTP/2-Servern von der Lücke betroffen. Die genaue Liste der betroffenen Produkte wird im vollständigen Advisory bereitgestellt.
Mögliche Folgen
Ein erfolgreicher Angriff kann die Verfügbarkeit von Webdiensten stark einschränken und zu Ausfallzeiten führen, die insbesondere für Unternehmen mit hohen Online-Anforderungen problematisch sind. Der Serviceunterbruch kann zudem indirekt zu wirtschaftlichen Verlusten führen.
Empfohlene GegenmaĂźnahmen
Administratoren wird geraten, die von CERT-Bund veröffentlichten Patches zeitnah zu installieren und, sofern verfügbar, die betroffenen Komponenten auf die neueste Version zu aktualisieren. Zusätzlich sollten Netzwerkfilter eingesetzt werden, um verdächtige HTTP/2-Traffic-Muster zu blockieren.
Ausblick
Die Sicherheitsbehörde wird die Situation weiter beobachten und bei Bedarf weitere Hinweise veröffentlichen. Nutzer werden aufgefordert, die offiziellen Kommunikationskanäle von CERT-Bund für Updates zu konsultieren.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Uebertragung