The Cloudflare Blog
·
MadeYouReset:一种通过快速重置缓解措施阻止的HTTP/2漏洞
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
以色列特拉维夫大学的安全研究人员披露了一种新的HTTP/2拒绝服务漏洞,称为MadeYouReset(CVE-2025-8671)。该漏洞存在于少数未修补的HTTP/2服务器实现中,攻击者可通过发送畸形帧导致服务器资源耗尽。Cloudflare已采取措施保护其系统免受此漏洞影响,且大多数主流HTTP/2实现已通过2023年的Rapid Reset防护措施限制了该漏洞的影响。
🎯
关键要点
- 以色列特拉维夫大学的安全研究人员披露了一种新的HTTP/2拒绝服务漏洞,称为MadeYouReset(CVE-2025-8671)。
- 该漏洞存在于少数未修补的HTTP/2服务器实现中,攻击者可通过发送畸形帧导致服务器资源耗尽。
- Cloudflare已采取措施保护其系统免受此漏洞影响,且大多数主流HTTP/2实现已通过2023年的Rapid Reset防护措施限制了该漏洞的影响。
- MadeYouReset和Rapid Reset是两种概念上相似的HTTP/2协议攻击,利用了HTTP/2规范中的流重置特性。
- MadeYouReset漏洞仅影响相对少数的HTTP/2实现,大多数主流实现已通过主动措施提供了实质性保护。
❓
延伸问答
MadeYouReset漏洞是什么?
MadeYouReset漏洞是一种HTTP/2拒绝服务漏洞,攻击者通过发送畸形帧导致服务器资源耗尽。
Cloudflare是如何应对MadeYouReset漏洞的?
Cloudflare通过在2023年实施的Rapid Reset防护措施,保护其系统免受MadeYouReset漏洞的影响。
MadeYouReset和Rapid Reset有什么区别?
MadeYouReset通过发送畸形帧诱使服务器重置流,而Rapid Reset则是直接由客户端发起流重置。
哪些HTTP/2实现受到MadeYouReset漏洞的影响?
MadeYouReset漏洞仅影响少数未修补的HTTP/2服务器实现,大多数主流实现已通过防护措施提供保护。
MadeYouReset漏洞是如何被发现的?
该漏洞是由以色列特拉维夫大学的安全研究人员发现,并通过协调披露过程通知了Cloudflare。
如何保护自己的HTTP/2服务器免受MadeYouReset漏洞的影响?
用户应确保其HTTP/2实现已更新到最新版本,并应用相关的安全补丁以防止漏洞利用。
➡️
