• IT-Karriere:
  • Services:

Webserver: Denial-of-Service-Angriffe gegen HTTP/2

Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.

Artikel veröffentlicht am ,
Mit speziellen HTTP/2-Anfragen kann man dafür sorgen, dass Webserver extrem langsam werden.
Mit speziellen HTTP/2-Anfragen kann man dafür sorgen, dass Webserver extrem langsam werden. (Bild: Mad Max, Wikimedia Commons/CC-BY-SA 3.0)

Sicherheitsforscher von Netflix haben mehrere Möglichkeiten für Denial-of-Service-Angriffe im HTTP/2-Protokoll analysiert. Die Probleme betreffen dabei alle verbreiteten Webserver. Ein Client kann dabei mit wenig Aufwand enorm hohe Lasten auf dem Server erzeugen.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. OGS Gesellschaft für Datenverarbeitung und Systemberatung mbH, Koblenz

Insgesamt acht mögliche Sicherheitsprobleme listet Netflix in seinem Advisory. Die meisten davon folgen aber einer gemeinsamen Idee: Ein Client fordert beim Server etwas an, das Last auslöst, akzeptiert aber anschließend die gesendeten Antworten nicht. Alle genannten Angriffsszenarien können nur dazu genutzt werden, Server auszulasten. Ein weitergehendes Risiko etwa für das unberechtigte Auslesen von Daten besteht nicht.

Das HTTP/2-Protokoll wurde im Jahr 2015 veröffentlicht. Während es sich beim älteren HTTP/1.1 Protokoll um ein vergleichsweise simples, textbasiertes Protokoll handelt, ist HTTP/2 ein Binärprotokoll. Es ermöglicht HTTP/2 die Kompression von Headern, Multiplexing und vieles mehr. Das bringt Performancevorteile, es erhöht aber die Komplexität deutlich und bietet damit auch mehr Angriffsfläche für Sicherheitslücken.

Standard erläutert nicht, wie man mit unnormalen Situationen umgehen soll

Netflix kritisiert indirekt auch den HTTP/2-Standard, der im RFC 7540 spezifiziert ist. Zwar seien einige der Probleme im Standard als mögliche Sicherheitsprobleme erwähnt, es sei aber nicht klar, wie Implementierungen damit umgehen sollen. Demnach sei der Standard zwar sehr genau darin, zu erläutern, wie sich Implementierungen bei normaler Kommunikation verhalten sollen. Wie aber unnormales Verhalten erkannt und wie darauf reagiert werden soll, sei nur sehr vage beschrieben und es bleibt den einzelnen Implementierungen überlassen, damit umzugehen.

Gemeinsam mit Google und dem CERT/CC hat Netflix die Probleme an die Entwickler zahlreicher Implementierungen gemeldet. Ein Advisory des CERT/CC listet betroffene Produkte, bislang fehlen aber noch überwiegend Informationen zu bereits verfügbaren Updates.

Betroffen sind praktisch alle wichtigen HTTP/2-Implementierungen, für die meisten stehen Updates bereit oder sollten in Kürze erscheinen. Nginx hat die Updates 1.16.1 und 1.17.3 mit entsprechenden Korrekturen veröffentlicht. Der Apache-Webserver greift für die HTTP/2-Funktionalität auf die Bibliothek Nghttp2 zurück. Für den Webserver selbst steht ein Fix in Version 2.4.41 bereit, für Nghttp2 in Version 1.39.2.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...
  2. täglich neue Deals bei Alternate.de
  3. (reduzierte Überstände, Restposten & Co.)

schnedan 14. Aug 2019

haben auf der Arbeit auch n Protokoll definiert... und meine Lesson Learned war die...

ibsi 14. Aug 2019

Sehr hilfreich, vielen Dank; werde ich mir bookmarken :)

Gunah 14. Aug 2019

Erinnert ein wenig an WPA2 "CRACK"


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /