HTTP/2协议曝"MadeYouReset"漏洞,可用于发动大规模DDoS攻击
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
安全研究人员发现HTTP/2协议中的新型拒绝服务漏洞"MadeYouReset"(CVE-2025-8671),攻击者可通过无限制并发请求使服务器崩溃。该漏洞源于2023年的Rapid Reset漏洞,诱使服务器发送RST_STREAM帧,导致资源耗尽。受影响项目包括Netty和Apache Tomcat,厂商建议立即更新补丁并实施速率限制。
🎯
关键要点
- 安全研究人员发现HTTP/2协议中的新型拒绝服务漏洞' MadeYouReset'(CVE-2025-8671)。
- 该漏洞允许攻击者通过无限制并发请求使服务器崩溃,源于2023年的Rapid Reset漏洞。
- MadeYouReset攻击绕过了内置的并发限制,诱使服务器发送RST_STREAM帧,导致资源耗尽。
- 攻击者通过发送有效请求并触发协议错误来实现攻击,服务器在处理错误时消耗资源。
- 该漏洞可导致低成本、高影响力的DDoS攻击,受影响项目包括Netty和Apache Tomcat等。
- 厂商建议立即更新补丁并实施速率限制,降低MAX_CONCURRENT_STREAMS值以缓解风险。
- 漏洞凸显了HTTP/2协议中资源不对称的问题,发送请求成本低而处理请求代价高昂。
❓
延伸问答
什么是MadeYouReset漏洞?
MadeYouReset漏洞(CVE-2025-8671)是HTTP/2协议中的一种新型拒绝服务漏洞,攻击者可以通过无限制的并发请求使服务器崩溃。
MadeYouReset漏洞是如何被利用的?
攻击者通过发送有效请求并触发协议错误,诱使服务器发送RST_STREAM帧,从而导致资源耗尽。
哪些项目受到MadeYouReset漏洞的影响?
受影响的项目包括Netty、Apache Tomcat、F5 BIG-IP、H2O和Swift-NIO-HTTP2等。
如何缓解MadeYouReset漏洞的风险?
厂商建议立即安装补丁,实施速率限制,并降低MAX_CONCURRENT_STREAMS值以缓解风险。
MadeYouReset漏洞与Rapid Reset漏洞有什么关系?
MadeYouReset漏洞是基于2023年发现的Rapid Reset漏洞构建的,后者利用了HTTP/2的流取消机制。
MadeYouReset漏洞对网络安全有什么影响?
该漏洞可导致低成本、高影响力的DDoS攻击,服务器需为少量请求消耗大量资源,可能导致系统崩溃。
➡️
