研究人员披露HTTP/2一项新漏洞,可使攻击者绕过HTTP/2的防护机制,发动大规模系统拒绝服务(Denial of Service, DoS)攻击,甚至系统崩溃。
这项漏洞是由以色列台特拉维夫(Tel-Aviv)大学研究人员及Imperva合作发现,并由CERT/CC发布。
本漏洞正式名为MadeYouReset,研究人员说,本漏洞从核心问题及破坏威力而言可比2023年冲击多项服务的Rapid Reset漏洞。
技术而言,MadeYouReset是绕过服务器端设置,用户端发送的TCP连接每道连接最多允许100个同时HTTP/2调用。这种限制是借由限制单一用户端的同时调用量,以防范DoS攻击。
MadeYouReset漏洞让攻击者可由单一用户端发送数千请求,导致合法用户的DoS攻击条件。攻击者在调用中加入异常页框(frame)或flow control错误,打开大量数据流并快速触发服务器重设数据流。此手法造成HTTP/2协议面关闭,实则服务器后端仍继续处理调用,攻击者通过重副本动作造成服务器、内存及系统资源被大量占用,形成拒绝服务。在某些实例中,本攻击可造成系统内存耗尽而崩溃。
MadeYouReset影响数项产品的HTTP/2实例。MadeYouReset正式编号为CVE-2025-8671。但在个别产品中有不同编号。在开源Java Web Server项目Apache Tomcat为CVE-2025-48989(高风险),在F5 BIG-IP为CVE-2025-54500(CVSS score:6.9),在开源Java网络应用框架Netty为CVE-2025-55163(CVSS score:7.5)。
上述厂商已发布更新软件或修补程序修补这项漏洞。其中影响开源社交媒体的Apache Tomcat已发布Tomcat 11.0.10、10.1.44、9.0.108。Netty则发布netty 4.2.4.Final。
