Forwarded from AIGC
HTTP/2 协议实现存在 "MadeYouReset"DoS 漏洞,攻击者可通过控制帧耗尽服务器资源
研究人员发现多个 HTTP/2 实现存在拒绝服务漏洞(CVE-2025-8671),攻击者可利用 HTTP/2 控制帧发起 "MadeYouReset" 攻击。该漏洞源于 HTTP/2 规范与服务器内部架构在处理流重置时的差异,导致服务器持续处理已取消的请求。
漏洞原理:
- 攻击者通过发送畸形帧或流量控制错误,诱导服务器重置 HTTP/2 流
- 虽然协议层认为流已关闭,但后端仍继续处理请求
- 攻击者可借此在单个连接上发起无限并发请求
影响:
- 可被用于 DDoS 攻击,导致服务器 CPU 或内存耗尽
- 与 2023 年发现的 "Rapid Reset" 漏洞(CVE-2023-44487)类似
解决方案:
- 各厂商已发布补丁(包括 Apache Tomcat 的 CVE-2025-48989)
- 建议限制服务器端 RST_STREAM 帧的发送速率
- 详细缓解措施参考研究人员提供的资料:https://galbarnahum.com/made-you-reset
# 网络安全 #HTTP2 #漏洞 #DDoS #服务器安全
#AIGC
Read more
研究人员发现多个 HTTP/2 实现存在拒绝服务漏洞(CVE-2025-8671),攻击者可利用 HTTP/2 控制帧发起 "MadeYouReset" 攻击。该漏洞源于 HTTP/2 规范与服务器内部架构在处理流重置时的差异,导致服务器持续处理已取消的请求。
漏洞原理:
- 攻击者通过发送畸形帧或流量控制错误,诱导服务器重置 HTTP/2 流
- 虽然协议层认为流已关闭,但后端仍继续处理请求
- 攻击者可借此在单个连接上发起无限并发请求
影响:
- 可被用于 DDoS 攻击,导致服务器 CPU 或内存耗尽
- 与 2023 年发现的 "Rapid Reset" 漏洞(CVE-2023-44487)类似
解决方案:
- 各厂商已发布补丁(包括 Apache Tomcat 的 CVE-2025-48989)
- 建议限制服务器端 RST_STREAM 帧的发送速率
- 详细缓解措施参考研究人员提供的资料:https://galbarnahum.com/made-you-reset
# 网络安全 #HTTP2 #漏洞 #DDoS #服务器安全
#AIGC
Read more
Galbarnahum
MadeYouReset | Gal Bar Nahum's Blog