2025年8月15日
CERT/CC(计算机应急响应协调中心)近日发布漏洞公告,警告多个HTTP/2实现中新发现的缺陷可能被威胁行为者用于发起高效拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击。该漏洞被非正式命名为"MadeYouReset",编号CVE-2025-8671,其根源在于众多服务器处理服务端发起的流重置(server-sent stream resets)的方式。
漏洞原理分析
CERT/CC指出:"MadeYouReset利用了HTTP/2规范与实际Web服务器内部架构在流重置处理上的不匹配。这会导致资源耗尽,威胁行为者可借此漏洞实施分布式拒绝服务攻击(DDoS)。"
该漏洞与编号CVE-2023-44487(俗称"Rapid Reset")的漏洞存在相似性,但后者滥用的是客户端发起的流重置。而MadeYouReset则利用服务端发起的流重置,触发后端持续处理已被协议视为关闭的数据流。
CERT/CC解释称:"在数据流被取消后,许多实现方案仍会继续处理请求、计算响应,但不会将响应返回给客户端。"这种HTTP/2流统计与后端请求处理之间的差异,使得攻击者能够通过单一连接向服务器发送无限并发请求。
攻击机制详解
攻击者会打开多个HTTP/2数据流,然后通过畸形帧或流量控制错误快速触发服务器重置这些流。理论上,协议的SETTINGS_MAX_CONCURRENT_STREAMS限制应能防止过载。然而一旦流被重置,HTTP/2层便不再将其计入限制------但后端服务器仍会继续处理该流。
这种设计缺陷意味着攻击者可维持持续的"重置流",迫使服务器处理远超设计容量的活跃请求,最终导致CPU高负载或内存耗尽,引发服务中断。
潜在危害评估
CERT/CC警告称:"利用该漏洞的威胁行为者很可能通过迫使服务器处理极高数量的并发请求,使目标系统离线或严重限制客户端的连接可能性。"根据具体HTTP/2实现方式的不同,攻击可能导致CPU过载或内存耗尽,在攻击期间使关键服务瘫痪。
修复建议
多家厂商已发布针对MadeYouReset的补丁或安全公告。CERT/CC敦促各组织及时查阅厂商声明并应用更新。同时建议HTTP/2产品开发者与维护者采取以下措施:
- 限制服务端发送RST_STREAM帧的数量或速率
- 审计HTTP/2实现中存在的后端处理不匹配问题
- 参考漏洞报告者技术文档中描述的其他缓解措施