Am 6. Februar 2026 hat Akamai einen potenziellen HTTP-Request-Schmuggel-Vektor aufgrund eines Fehlers bei der Verarbeitung nutzerdefinierter Hop-by-Hop-HTTP-Header eliminiert.
Hintergrund
HTTP definiert eine Gruppe von Hop-by-Hop-Headern, die nur vom ersten Proxy verarbeitet werden sollen, der sie empfängt und dann sofort aus der Anfrage entfernt werden. Sie sollen also nie an den nächsten Server weitergeleitet werden.
Zusätzlich zu den im HTTP-Standard angegebenen Hop-by-Hop-Headern können Clients ihre eigenen nutzerdefinierten Hop-by-Hop-Header definieren, indem sie diese Headernamen im Header „Connection“ (Verbindung) auflisten. Beispiel: „Connection: My-Custom-Hop-By-Hop-Header.“
Schwachstellendetails
Edge-Server von Akamai enthielten einen Bug aufgrund einer unsachgemäßen Verarbeitung von Anfragen, bei denen „Transfer-Encoding“ als nutzerdefinierter Hop-by-Hop-Header angegeben wurde. Insbesondere könnte ein Angreifer eine schädliche Anfrage erstellen, einschließlich des Headers „Connection: Transfer-Encoding“, was zu einer Weiterleitungsanfrage führen würde, die ein unzulässiges Message-Framing enthielt, was möglicherweise zu einem HTTP-Angriff zum Schmuggeln von Anfragen führen würde.
Ob diese Schwachstelle in der Praxis ausgenutzt werden konnte, war abhängig vom internen Akamai-Verarbeitungspfad, der für die Bereitstellung der jeweiligen Anfrage ausgewählt wurde, sowie vom Verhalten des Ursprungsservers beim Empfang einer solchen Anfrage.
Abwehr
Am 30. Dezember 2025 wurde Akamai auf das Problem aufmerksam und begann sofort eine Untersuchung. Am 6. Februar 2026 wurde eine umfassende Korrekturmaßnahme umgesetzt, die die Schwachstelle aus allen Akamai-Diensten vollständig entfernte. Es sind keine Abhilfemaßnahmen seitens der Kunden erforderlich.
Im Rahmen unserer regelmäßigen Vorfallsreaktion und Schwachstellenanalyse haben wir dieses Problem über CVE-2026-26365 gemeldet.
Besonderen Dank
Wir danken „Jake Murphy vom Mandiant-Team von Google Cloud“ für die Meldung dieses Problems durch das Bug-Bounty-Programm von Akamai und die Koordination mit uns während unserer gesamten Untersuchung.
Tags
