The Cloudflare Blog
·
MadeYouReset:一种通过快速重置缓解措施阻止的HTTP/2漏洞
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
以色列特拉维夫大学的安全研究人员于8月13日披露了一种新的HTTP/2拒绝服务漏洞,名为MadeYouReset(CVE-2025-8671)。该漏洞影响少数未修补的HTTP/2服务器,攻击者可通过发送畸形帧反复重置流,耗尽服务器资源。使用Cloudflare的用户已获得保护。
🎯
关键要点
- 以色列特拉维夫大学的安全研究人员于8月13日披露了一种新的HTTP/2拒绝服务漏洞,名为MadeYouReset(CVE-2025-8671)。
- 该漏洞影响少数未修补的HTTP/2服务器,攻击者可通过发送畸形帧反复重置流,耗尽服务器资源。
- 使用Cloudflare的用户已获得保护,Cloudflare在5月通过协调披露过程获悉该漏洞,并确认其系统不受影响。
- MadeYouReset和Rapid Reset是两种概念上相似的HTTP/2协议攻击,利用HTTP/2规范中的流重置特性。
- 攻击者通过反复导致流重置来压垮服务器资源,影响合法用户的可用性。
- MadeYouReset漏洞仅影响相对少数的HTTP/2实现,大多数主流实现已采取措施防范此漏洞。
- Cloudflare的Pingora框架使用Rust语言的h2库,h2库在0.4.11之前的版本可能受到MadeYouReset的影响,用户可通过更新h2 crate版本进行修补。
🏷️
标签
➡️
