HTTP/2协议曝"MadeYouReset"漏洞,可用于发动大规模DDoS攻击
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
安全研究人员发现HTTP/2协议中的新型拒绝服务漏洞"MadeYouReset"(CVE-2025-8671),攻击者可通过无限制并发请求使服务器崩溃。该漏洞源于2023年的Rapid Reset漏洞,诱使服务器发送RST_STREAM帧,导致资源耗尽。受影响项目包括Netty和Apache Tomcat,厂商建议立即更新补丁并实施速率限制。
🎯
关键要点
- 安全研究人员发现HTTP/2协议中的新型拒绝服务漏洞' MadeYouReset'(CVE-2025-8671)。
- 该漏洞允许攻击者通过无限制并发请求使服务器崩溃,源于2023年的Rapid Reset漏洞。
- MadeYouReset攻击绕过了内置的并发限制,诱使服务器发送RST_STREAM帧,导致资源耗尽。
- 攻击者通过发送有效请求并触发协议错误来实现攻击,服务器在处理错误时消耗资源。
- 该漏洞可导致低成本、高影响力的DDoS攻击,受影响项目包括Netty和Apache Tomcat等。
- 厂商建议立即更新补丁并实施速率限制,降低MAX_CONCURRENT_STREAMS值以缓解风险。
- 漏洞凸显了HTTP/2协议中资源不对称的问题,发送请求成本低而处理请求代价高昂。
➡️
