HTTP2, Bomb

HTTP/ 2 Bomb: Apache schließt kritische DoS-Lücke in 2.4.68

09.06.2026 - 10:07:32 | boerse-global.de

Die Apache Foundation veröffentlicht ein dringendes Update für eine DoS-Lücke im mod_http2-Modul, die Hunderttausende Server gefährdet.

Apache-Update schließt kritische HTTP/2-Bomb-Sicherheitslücke
HTTP2 - Abstrakte Darstellung einer digitalen Bombe oder explodierenden Netzwerkpakets, umgeben von roten Linien und Schaltkreisen, symbolisiert eine kritische Schwachstelle. 09.06.2026 - Bild: über boerse-global.de

Eine schwerwiegende Denial-of-Service-Lücke bedroht Hunderttausende Webserver weltweit. Die Apache Software Foundation hat am Montag ein dringendes Sicherheitsupdate veröffentlicht.

Der Exploit mit dem Namen „HTTP/2 Bomb" nutzt eine Schwachstelle im mod_http2-Modul aus. Betroffen sind alle Apache-Versionen von 2.4.17 bis 2.4.67. Die neue Version 2.4.68 schließt das Loch – und das ist höchste Eisenbahn.

Angreifer brauchen nur Sekunden

Anzeige: Die HTTP/2-Bomb-Lücke (CVE-2026-49975) legt Server in Sekunden lahm – und 880.000 Websites sind gefährdet. Einzige Rettung: das sofortige Update auf Apache 2.4.68. Unser Report liefert die Checkliste für den 5-Minuten-Patch und zeigt, wie Sie Ihr System dauerhaft schützen. Jetzt kostenlosen Sicherheits-Report anfordern

Die Sicherheitslücke CVE-2026-49975 kombiniert zwei bekannte Angriffstechniken: HPACK-Kompression und eine Slowloris-ähnliche Flusskontrolle. Das Ergebnis ist verheerend. Ein einzelner Angreifer mit einer 100-MBit/s-Leitung kann innerhalb von 20 Sekunden 32 Gigabyte Serverspeicher lahmlegen.

Rund 880.000 Websites waren zum Zeitpunkt der Veröffentlichung potenziell gefährdet. Die gute Nachricht: Apache hat den Fehler mit dem Update auf mod_http2 Version 2.0.41 behoben.

Branche reagiert unterschiedlich

Nicht nur Apache ist betroffen. Auch NGINX, IIS, Envoy und Cloudflares Pingora kämpfen mit ähnlichen Problemen. NGINX hat mit Version 1.29.8 bereits reagiert. Bei IIS und Envoy fehlen dagegen noch offizielle Patches. Cloudflare schützt seine Kunden durch Edge-Sicherheitsmaßnahmen.

Verschont bleiben Anwender von LiteSpeed Web Server, OpenLiteSpeed und LiteSpeed Web ADC – ihre unabhängige Codebasis macht immun gegen den Exploit. Sicherheitsexperten betonen: Es gibt keine Workarounds. Einzige Lösung ist das Update.

Weitere Schwachstellen geschlossen

Das Apache-Update vom 8. Juni behebt insgesamt 12 bis 13 Sicherheitslücken. Darunter mehrere kritische Speicher- und Injection-Probleme:

  • Use-After-Free-Fehler in mod_ldap (CVE-2026-29167) und mod_http2 (CVE-2026-48913) – beide könnten zur Dienstinstabilität führen
  • Pufferüberläufe in mod_proxy_html (CVE-2026-34355)
  • Cross-Site-Scripting in mod_proxy_ftp (CVE-2026-29170)
  • Rechteausweitung über .htaccess-Dateien (CVE-2026-44119)

Anzeige: Angreifer nutzen die HTTP/2-Bomb, um Server mit einer 100-MBit/s-Leitung in 20 Sekunden lahmzulegen – kein Workaround, nur das Update hilft. Unser Leitfaden führt Sie durch den Patch-Prozess und zeigt, wie Sie künftige DoS-Attacken frühzeitig erkennen. Patch-Guide jetzt sichern

Angriffswelle auf Infrastruktur

Die HTTP/2-Bomb ist kein Einzelfall. Erst am 5. Juni hatte die US-Cybersicherheitsbehörde CISA eine DoS-Lücke in SolarWinds Serv-U (CVE-2026-28318) in ihren Katalog bekannter Exploits aufgenommen. Auch dort reichen manipulierte Anfragen, um Dienste zum Absturz zu bringen.

Am 7. Juni veröffentlichte das Gogs-Projekt Version 0.14.3 – als Notfall-Patch für eine kritische Zero-Day-Lücke. Die Entwicklung zeigt einen alarmierenden Trend: Die Zeitspanne zwischen Entdeckung und aktivem Exploit schrumpfte von hunderten Tagen im Jahr 2020 auf rund 40 Tage bis 2025.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | wissenschaft | 69506067 |