HTTP/2 Bomb (remote denial-of-service)

m_ueberall · June 3, 2026 at 8:27 AM New

CVE:	CVE-2026-49975
Blog-Artikel:	Codex Discovered a Hidden HTTP/2 Bomb [github.com]
Proof-of-Concept:	HTTP/2 Bomb [github.com]
Betroffene Komponente(n):	Webserver (Apache httpd 2.4.67, nginx 1.29.7, Microsoft IIS 10 (Windows Server 2025), Cloudflare Pingora 0.8.0, Envoy 1.37.2)

[gelöschtes Individuum] · June 3, 2026 at 9:26 AM New

-

webdesignheld · June 3, 2026 at 10:31 AM New

https://github.com/nginx/nginx/commit/365694160a85229a7cb006738de9260d49ff5fa2

fixed since april for apache?

Screenshot 2026-06-03 at 10.34.31.png

Screenshot 2026-06-03 at 10.31.17.png

daq4th · June 3, 2026 at 10:55 AM New

Lass uns aus http ein Binär-Protokoll machen, was soll schon schief gehen?

NaN · June 3, 2026 at 11:08 AM New

Quote from daq4th

Binär-Protokoll

Das hat nichts damit zu tun. Das Problem ist unnötige Komplexität durch "Optimierung", nicht ob du das Protokoll lesen kannst. Es wird zu viel Zustandsinformation für unauthentifizierte Clients auf dem Server gehalten. Der Teil des Protokolls, der ausgenutzt wird, soll die übertragene Datenmenge für HTTP-Header in aufeinanderfolgenden Requests reduzieren, während nutzdatenseitig munter die Megabytes für Tracking fließen.

webdesignheld · June 3, 2026 at 11:12 AM New

ich hab anscheinend nur http/1.1 laufen - braucht man das http/2 ?

heavygale · June 3, 2026 at 11:27 AM New

Quote from webdesignheld

braucht man das http/2 ?

Naja, du kannst eine Webseite auch auf einem Rapsi über EDGE betrieben - ist alles nur eine Frage der Performance. HTTP/3 gibt's im übrigen auch schon...

webdesignheld · June 3, 2026 at 11:44 AM New

Quote from heavygale

ist alles nur eine Frage der Performance

HTTP/1.1 scheint dann zu reichen für mich.

Screenshot 2026-06-03 at 11.43.09.png

HTTP/2 Bomb (remote denial-of-service)

Tags

Users Viewing This Thread