HTTP/2 Bomb: DoS-Lücke trifft Nginx, Apache, IIS, Envoy

Stell dir vor, ein einziger Angreifer mit normaler 100-Mbit-Heimleitung schaltet deinen kompletten Webserver aus — in Sekunden. Genau das kann die am 2. Juni offengelegte „HTTP/2 Bomb“. Betroffen ist so ziemlich alles, was im Web Rang und Namen hat: Nginx, Apache httpd, Microsoft IIS, Envoy und Cloudflare Pingora.

SO funktioniert der Angriff

Die Attacke kombiniert zwei alte Bekannte zu einem neuen Monster: eine Kompressionsbombe und einen Slowloris-Trick. Ziel ist HPACK, die Header-Kompression von HTTP/2. Der Angreifer schickt winzige, hochkomprimierte Header — ein einziges Byte auf der Leitung zwingt den Server, einen kompletten Header im Speicher anzulegen. Das wiederholt sich tausendfach pro Anfrage.

Der zweite Teil ist noch fieser: Ein Flow-Control-Fenster von null Bytes hält die Verbindung künstlich offen. Der Server darf den belegten Speicher dadurch nie wieder freigeben. Das Ergebnis: Ein einzelner Client kann bis zu 32 GB RAM in rund 20 Sekunden fressen — dann ist Schluss mit deiner Website.

KURIOS: Eine KI hat die Lücke gefunden

Entdeckt wurde die Schwachstelle ausgerechnet von OpenAI Codex — einem KI-Coding-Tool. Die KI hat die beiden bekannten Angriffstechniken selbstständig zu einer neuen Kette kombiniert. Eine Shodan-Suche zeigt das Ausmaß: Über 880.000 öffentlich erreichbare Endpunkte laufen mit verwundbaren HTTP/2-Setups.

So rettest du deinen Server in 5 MINUTEN

Nginx

Update auf Nginx 1.29.8 oder neuer. Die Version bringt die neue Direktive max_headers mit — Standardwert 1000. Damit ist die Bombe entschärft, bevor sie zündet.

Apache httpd

Hier liegt der Fix in mod_http2 v2.0.41. Modul aktualisieren, Apache neu laden, fertig.

IIS, Envoy, Pingora

Hier wird es unangenehm: Für diese drei gibt es noch keinen Patch. Wer kann, begrenzt Header-Anzahl und Verbindungen am vorgelagerten Load Balancer — oder schaltet HTTP/2 vorübergehend ab, wenn der Dienst kritisch ist.

FAZIT: Nicht warten, patchen

DoS-Lücken wirken oft harmloser als Codeausführung — bis der eigene Shop oder Blog offline ist. Die Angriffskosten sind hier lächerlich niedrig, ein Proof of Concept kursiert bereits auf der oss-sec-Mailingliste. Wenn dein Server HTTP/2 spricht: Heute updaten, nicht morgen.

Häufige Fragen

Welche Server sind von der HTTP/2 Bomb betroffen?

Bestätigt verwundbar sind Nginx, Apache httpd, Microsoft IIS, Envoy und Cloudflare Pingora — also nahezu alle verbreiteten Webserver und Proxies mit aktiviertem HTTP/2. Reine HTTP/1.1-Setups sind nicht betroffen. Eine Shodan-Abfrage fand über 880.000 öffentlich erreichbare HTTP/2-Endpunkte mit diesen Servern.

Wie merke ich, ob mein Server angegriffen wird?

Typisches Symptom ist explodierender RAM-Verbrauch des Webserver-Prozesses innerhalb weniger Sekunden, gefolgt von OOM-Kills oder einem komplett eingefrorenen Dienst. In den Logs siehst du viele offene HTTP/2-Verbindungen mit minimalem Datendurchsatz. Monitoring mit Speicher-Alarmen schlägt hier zuerst an.

Wie behebe ich das Problem konkret?

Für Nginx steht Version 1.29.8 mit der neuen Direktive max_headers (Standard 1000) bereit, für Apache der Fix in mod_http2 v2.0.41. Für IIS, Envoy und Cloudflare Pingora gibt es noch keinen Patch — dort helfen vorerst Header- und Verbindungslimits am Load Balancer oder das temporäre Abschalten von HTTP/2.

Gab es schon aktive Angriffe?

Bislang sind keine breiten Angriffswellen dokumentiert. Die Technik wurde aber am 2. Juni 2026 öffentlich auf der oss-sec-Mailingliste beschrieben, inklusive technischer Details. Erfahrungsgemäß folgen automatisierte Angriffe auf so einfache DoS-Vektoren innerhalb weniger Tage — deshalb solltest du sofort patchen.

Quellen: oss-sec-Mailingliste (Disclosure) · SecurityWeek · CyberInsider · The Hacker News

SERVER-GAU! Die HTTP/2-Bombe frisst JETZT 32 GB RAM in 20 Sekunden — Nginx, Apache und IIS betroffen