Webserver: Denial-of-Service-Angriffe gegen HTTP/2

Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.

Artikel veröffentlicht am ,
Mit speziellen HTTP/2-Anfragen kann man dafür sorgen, dass Webserver extrem langsam werden.
Mit speziellen HTTP/2-Anfragen kann man dafür sorgen, dass Webserver extrem langsam werden. (Bild: Mad Max, Wikimedia Commons/CC-BY-SA 3.0)

Sicherheitsforscher von Netflix haben mehrere Möglichkeiten für Denial-of-Service-Angriffe im HTTP/2-Protokoll analysiert. Die Probleme betreffen dabei alle verbreiteten Webserver. Ein Client kann dabei mit wenig Aufwand enorm hohe Lasten auf dem Server erzeugen.

Stellenmarkt
  1. Fachinformatiker (m/w/d) IT Support
    Bank of America/Military Banking Overseas Division, Mainz-Kastel
  2. Service Manager (m/w/d) Datenbanksysteme
    operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg
Detailsuche

Insgesamt acht mögliche Sicherheitsprobleme listet Netflix in seinem Advisory. Die meisten davon folgen aber einer gemeinsamen Idee: Ein Client fordert beim Server etwas an, das Last auslöst, akzeptiert aber anschließend die gesendeten Antworten nicht. Alle genannten Angriffsszenarien können nur dazu genutzt werden, Server auszulasten. Ein weitergehendes Risiko etwa für das unberechtigte Auslesen von Daten besteht nicht.

Das HTTP/2-Protokoll wurde im Jahr 2015 veröffentlicht. Während es sich beim älteren HTTP/1.1 Protokoll um ein vergleichsweise simples, textbasiertes Protokoll handelt, ist HTTP/2 ein Binärprotokoll. Es ermöglicht HTTP/2 die Kompression von Headern, Multiplexing und vieles mehr. Das bringt Performancevorteile, es erhöht aber die Komplexität deutlich und bietet damit auch mehr Angriffsfläche für Sicherheitslücken.

Standard erläutert nicht, wie man mit unnormalen Situationen umgehen soll

Netflix kritisiert indirekt auch den HTTP/2-Standard, der im RFC 7540 spezifiziert ist. Zwar seien einige der Probleme im Standard als mögliche Sicherheitsprobleme erwähnt, es sei aber nicht klar, wie Implementierungen damit umgehen sollen. Demnach sei der Standard zwar sehr genau darin, zu erläutern, wie sich Implementierungen bei normaler Kommunikation verhalten sollen. Wie aber unnormales Verhalten erkannt und wie darauf reagiert werden soll, sei nur sehr vage beschrieben und es bleibt den einzelnen Implementierungen überlassen, damit umzugehen.

Golem Akademie
  1. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  2. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
  3. Online-Sprachkurse mit Golem & Gymglish
    Kurze Lektionen, die funktionieren
Weitere IT-Trainings

Gemeinsam mit Google und dem CERT/CC hat Netflix die Probleme an die Entwickler zahlreicher Implementierungen gemeldet. Ein Advisory des CERT/CC listet betroffene Produkte, bislang fehlen aber noch überwiegend Informationen zu bereits verfügbaren Updates.

Betroffen sind praktisch alle wichtigen HTTP/2-Implementierungen, für die meisten stehen Updates bereit oder sollten in Kürze erscheinen. Nginx hat die Updates 1.16.1 und 1.17.3 mit entsprechenden Korrekturen veröffentlicht. Der Apache-Webserver greift für die HTTP/2-Funktionalität auf die Bibliothek Nghttp2 zurück. Für den Webserver selbst steht ein Fix in Version 2.4.41 bereit, für Nghttp2 in Version 1.39.2.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


schnedan 14. Aug 2019

haben auf der Arbeit auch n Protokoll definiert... und meine Lesson Learned war die...

ibsi 14. Aug 2019

Sehr hilfreich, vielen Dank; werde ich mir bookmarken :)

Gunah 14. Aug 2019

Erinnert ein wenig an WPA2 "CRACK"



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /