Folgen 
Eine neu offengelegte Denial-of-Service-Schwachstelle, als CVE-2026-49975 verfolgt, zeigt, wie bekannte Schwächen in HTTP/2 noch immer zu einem äußerst effektiven modernen Angriff verkettet werden können. SecurityWeek berichtet, dass Forscher bei Calif einen HTTP/2 Bomb-Exploit demonstrierten, der in der Lage ist, große Webserver innerhalb von Sekunden offline zu nehmen, indem er eine Kompressionsbombe mit einem Slowloris-artigen Halt kombiniert, der den Server daran hindert, den Speicher freizugeben.
Laut dem Bericht kann der Angriff potenziell über 880.000 Websites betreffen, die HTTP/2 unterstützen und die Standardkonfigurationen von NGINX, Apache HTTP(Web) Server, Microsoft IIS, Envoy oder Cloudflare Pingora ausführen. Calif sagte auch, der Angriff könne von einem Heimcomputer mit einer 100-Mbps-Verbindung gestartet werden und dennoch betroffene Server innerhalb von Sekunden unzugänglich machen.
Analyse von CVE-2026-49975
SecurityWeek erklärt, dass der Angriff nicht auf einem einzigen neuen Fehler basiert, sondern auf einer Kette bekannter Denial-of-Service-Techniken. Die erste Stufe stützt sich auf HPACK-Bomb, als CVE-2016-6581 verfolgt, die die Headerkompression von HTTP/2 missbraucht, sodass sehr kleine Nachrichten zu extrem großen speicherintensiven Strukturen auf dem Zielserver expandieren. Der Artikel merkt an, dass diese Technik letztes Jahr gegen Apache HTTPD mit einer Verstärkungsrate von 4.000-fach demonstriert wurde und Apache dieses Problem in Version 2.4.64 als CVE-2025-53020 adressierte.
Die zweite Stufe missbraucht CVE-2016-8740 und CVE-2016-1546, zwei Slowloris-artige HTTP/2-Probleme, die mit Fortsetzungsrahmen und manipulierten Flusskontrollfenstern verbunden sind. Wie von SecurityWeek beschrieben, können Angreifer ein Null-Byte-Flusskontrollfenster bekanntgeben, das den Server daran hindert, eine Antwort zu senden, und dann das Sende-Timeout zurücksetzen, sodass Speicherzuweisungen fixiert bleiben, anstatt freigegeben zu werden.
Was diese Variante bemerkenswert macht, ist, dass laut Calif in der von SecurityWeek zitierten Erklärung die Verstärkung nicht von einem großen dekodierten Header-Wert stammt. Stattdessen kommt sie von der pro Eintrag durchgeführten Buchhaltung, die der Server um nahezu leere Header herum anlegt, was bedeutet, dass traditionelle Decode-Größenlimits den Angriff möglicherweise nicht aufhalten, da es „fast nichts zu decodieren“ gibt. Der Bericht sagt auch, dass Calif eine Umgehung für Server gefunden hat, die die Header-Feldanzahl begrenzen, und Proof-of-Concept-Code veröffentlicht hat, um den Angriff zu demonstrieren.
CVE-2026-49975-Minderung
SecurityWeek berichtet, dass NGINX den Fehler im April behoben hat, während Apache Ende Mai Patches einführte und CVE-2026-49975 zugewiesen hat. Zum Zeitpunkt des Berichts waren Microsoft IIS, Envoy und Cloudflare Pingora noch nicht gepatcht.
Aus der praktischen Abwehrperspektive ist die klarste kurzfristige Priorität, internetexponierte Systeme zu identifizieren, die Standard-HTTP/2-Konfigurationen verwenden, und zu überprüfen, ob sie gepatchte Software ausführen. Da der Artikel keine spezifischen IOCs oder tiefe Erkennungstelemetrie veröffentlicht, ist der realistischste Ansatz, sich auf exponierte HTTP/2-Dienste, schnelle Speicherspitzen und plötzliche Dienstinstabilität zu konzentrieren, die mit einem Speichererschöpfungsangriff vereinbar sind. Dieser letzte Punkt ist eine defensive Schlussfolgerung, basierend auf dem im SecurityWeek-Bericht beschriebenen Angriffsverhalten.
FAQ
Was ist CVE-2026-49975 und wie funktioniert es?
CVE-2026-49975 ist der von Apache zugewiesene Bezeichner für eine Denial-of-Service-Angriffskette, die eine HPACK-basierte Kompressionsbombe mit einem HTTP/2 Slowloris-artigen Halt kombiniert. Das Ergebnis ist eine schnelle Speichererschöpfung, die anfällige Server innerhalb von Sekunden unzugänglich machen kann.
Wann wurde CVE-2026-49975 erstmals entdeckt?
Der SecurityWeek-Artikel gibt kein privates Entdeckungsdatum an. Es wird gesagt, dass der Exploit HTTP/2 Bomb genannt wurde, mit OpenAI’s Codex entdeckt wurde und dass NGINX das Problem im April behoben hat, während Apache Ende Mai Patches veröffentlicht hat.
Welche Auswirkungen hat CVE-2026-49975 auf Systeme?
Die Hauptauswirkung ist eine Dienstunterbrechung. SecurityWeek besagt, dass der Exploit den Serverspeicher erschöpfen und große Webserver innerhalb von Sekunden offline schalten kann, selbst wenn er von einer relativ bescheidenen Heim-Internetverbindung aus gestartet wird.
Kann CVE-2026-49975 mich auch noch im Jahr 2026 betreffen?
Ja. Systeme können auch im Jahr 2026 noch gefährdet sein, wenn sie anfällige Standard-HTTP/2-Konfigurationen ausführen, insbesondere auf Produkten, die zum Zeitpunkt des Berichts noch nicht gepatcht waren, einschließlich Microsoft IIS, Envoy und Cloudflare Pingora.
Wie kann ich mich vor CVE-2026-49975 schützen?
Wenden Sie verfügbare Anbieter-Patches an, überprüfen Sie, ob Ihr Webstack Standard-HTTP/2-Einstellungen verwendet, und priorisieren Sie internetexponierte Server zur Überprüfung. Basierend auf dem in SecurityWeek beschriebenen Angriffsverhalten ist die Überwachung auf anomalen Speicherverbrauch und plötzlichen Dienstabbau auch ein sinnvoller vorläufiger Verteidigungsschritt.
