Angriffe via Dos-Attacken möglich
Aufgrund von nicht optimalen Implementierungen des HTTP/2-Protokolls könnten Angreifer unzählige Web-Server via DoS-Attacken aus dem Verkehr ziehen. Davon sind unter anderem
- Apple
- Microsoft
betroffen, wie heise.de dazu erläuterte.
Es sollen insgesamt acht Schwachstellen sein, die Sicherheitsforscher entdeckt haben. Dabei soll es sich um den Schweregrad „hoch“ handeln.
Der Einsatz von HTTP/2 bedeutet für Websites eigentlich eine erweiterte und verbesserte Variante von HTTP/1.1. Doch wie es weiter dazu heißt, steigt mit dem erweiterten Funktionsumfang auch die Komplexität der Implementierung und viele Server sind aufgrund einer nicht optimalen Konfiguration über verschiedene Wege angreifbar.
Websites außer Gefecht
Laut Sicherheitsforschern von Netflix werden Websites durch Anfragen an mehreren Stellen derart überflutet, dass diese nicht mehr erreichbar sind. In diesen Fällen gelingt das mit Variationen dadurch, dass ein Client eine Antwort von einem verwundbaren Server verlangt, diese dann aber ablehnt.
Der Netflix-Beitrag enthält auch die CVE-Nummern und weitere Infos zu den einzelnen Angriffsszenarien. In einer Meldung des CERT der Carnegie Mellon University findet sich eine Liste von Anbietern. Angreifbare Server sind markiert, beim Großteil ist aber noch unklar, ob sie betroffen sind.
Server müssen abgesichert werden
In einer Auflistung kann man einsehen, welche Produkte, die HTTP/2 mitbringen, mit dem Problem zu kämpfen haben und welche Lücken darin klaffen.
Verwundbar sind beispielsweise
- Nginx von F5
- Tomcat von Apache
- Windows
Sicherheitsupdates sind zum Teil verfügbar
beispielsweise Microsoft verteilt bereits Patches über Windows Update.
Wer betroffene Produkte einsetzt, sollte sich mit dem Anbieter in Verbindung setzen.