漏洞概述
近日,安全研究人员Gal Bar Nahum、Anat Bremler-Barr和Yaniv Harel发现了一种新型HTTP/2协议漏洞,命名为"MadeYouReset"(CVE-2025-8671)。该漏洞允许攻击者绕过服务器对单个TCP连接中并发请求数量的限制(通常为100个),从而发动大规模拒绝服务(DoS)攻击。
技术细节
"MadeYouReset"漏洞利用了HTTP/2协议中RST_STREAM帧的双重用途特性。该帧既可用于客户端发起的请求取消,也可用于指示流错误。攻击者通过精心构造的帧触发协议违规,迫使服务器主动发送RST_STREAM帧,从而绕过现有的Rapid Reset攻击缓解措施。
漏洞利用的六个关键原语包括:
- 增量为0的WINDOW_UPDATE帧
- 长度不为5的PRIORITY帧(PRIORITY帧唯一有效长度为5)
- 使流依赖于自身的PRIORITY帧
- 使窗口超过2^31-1最大允许大小的WINDOW_UPDATE帧
- 客户端已关闭流后发送的HEADERS帧(通过END_STREAM标志)
- 客户端已关闭流后发送的DATA帧(通过END_STREAM标志)
影响范围
该漏洞影响多个主流HTTP/2实现,包括:
- Apache Tomcat (CVE-2025-48989)
- F5 BIG-IP (CVE-2025-54500)
- Netty (CVE-2025-55163)
CERT/CC发布公告指出,该漏洞利用了HTTP/2规范与实际Web服务器内部架构之间的不匹配,导致资源耗尽。
攻击影响
成功利用此漏洞可导致:
- 服务器资源耗尽,造成拒绝服务
- 在某些厂商实现中可能导致内存崩溃
- 完全绕过Rapid Reset攻击的现有防护措施
- 达到与Rapid Reset攻击相同的破坏效果
相关背景
这是继Rapid Reset(CVE-2023-44487)和HTTP/2 CONTINUATION Flood之后,HTTP/2协议中发现的又一个高危DoS漏洞。Imperva专家指出:"服务器触发的Rapid Reset漏洞凸显了现代协议滥用不断演化的复杂性。随着HTTP/2仍然是Web基础设施的基础,防范类似MadeYouReset这样符合规范的微妙攻击比以往任何时候都更加关键。"
更多参考资讯: