HTTP/2新型漏洞“MadeYouReset“曝光：可发动大规模DoS攻击

漏洞概述

近日，安全研究人员Gal Bar Nahum、Anat Bremler-Barr和Yaniv Harel发现了一种新型HTTP/2协议漏洞，命名为"MadeYouReset"（CVE-2025-8671）。该漏洞允许攻击者绕过服务器对单个TCP连接中并发请求数量的限制（通常为100个），从而发动大规模拒绝服务(DoS)攻击。

技术细节

"MadeYouReset"漏洞利用了HTTP/2协议中RST_STREAM帧的双重用途特性。该帧既可用于客户端发起的请求取消，也可用于指示流错误。攻击者通过精心构造的帧触发协议违规，迫使服务器主动发送RST_STREAM帧，从而绕过现有的Rapid Reset攻击缓解措施。

漏洞利用的六个关键原语包括：

1. 增量为0的WINDOW_UPDATE帧
2. 长度不为5的PRIORITY帧（PRIORITY帧唯一有效长度为5）
3. 使流依赖于自身的PRIORITY帧
4. 使窗口超过2^31-1最大允许大小的WINDOW_UPDATE帧
5. 客户端已关闭流后发送的HEADERS帧（通过END_STREAM标志）
6. 客户端已关闭流后发送的DATA帧（通过END_STREAM标志）

影响范围

该漏洞影响多个主流HTTP/2实现，包括：

• Apache Tomcat (CVE-2025-48989)
• F5 BIG-IP (CVE-2025-54500)
• Netty (CVE-2025-55163)

CERT/CC发布公告指出，该漏洞利用了HTTP/2规范与实际Web服务器内部架构之间的不匹配，导致资源耗尽。

攻击影响

成功利用此漏洞可导致：

1. 服务器资源耗尽，造成拒绝服务
2. 在某些厂商实现中可能导致内存崩溃
3. 完全绕过Rapid Reset攻击的现有防护措施
4. 达到与Rapid Reset攻击相同的破坏效果

相关背景

这是继Rapid Reset(CVE-2023-44487)和HTTP/2 CONTINUATION Flood之后，HTTP/2协议中发现的又一个高危DoS漏洞。Imperva专家指出：“服务器触发的Rapid Reset漏洞凸显了现代协议滥用不断演化的复杂性。随着HTTP/2仍然是Web基础设施的基础，防范类似MadeYouReset这样符合规范的微妙攻击比以往任何时候都更加关键。”

---

更多参考资讯：

• 爱思考-网安资讯
• 爱思考-每日安全简讯