"VU#767506: HTTP/2-Implementierungen sind durch den "MadeYouReset" DoS-Angriff über HTTP/2-Steuerungsrahmen anfällig."
"Eine kürzlich entdeckte Schwachstelle, bekannt als "MadeYouReset" (CVE-2025-8671), betrifft zahlreiche HTTP/2-Implementierungen. Diese Schwachstelle ermöglicht Denial-of-Service-(DoS)-Angriffe, indem sie eine Ungleichheit in der Verarbeitung von Stream-Resets ausnutzt. Die Schwachstelle entsteht, weil die HTTP/2-Spezifikationen einen zurückgesetzten Stream als geschlossen betrachten, während viele Server-Implementierungen den Antrag intern weiterverarbeiten. Diese Diskrepanz bedeutet, dass ein Client eine unbegrenzte Anzahl von gleichzeitigen Anfragen auf einer einzelnen Verbindung auslösen kann. Angreifer können dies ausnutzen, indem sie schnell Reset-Frames senden, was zu Ressourcen-Erschöpfung auf dem Server führt. Der primäre Einfluss besteht in der Möglichkeit von verteilten Denial-of-Service-(DDoS)-Angriffen, die zu Server-Überlastung oder Speicher-Erschöpfung führen. Obwohl HTTP/2 eine Einstellung für die maximale Anzahl von gleichzeitigen Streams hat, werden zurückgesetzte Streams nicht in diesem Limit berücksichtigt. Diese Schwachstelle ähnelt dem "Rapid Reset"-Angriff (CVE-2023-44487). Mehrere Anbieter haben Patches veröffentlicht, und Benutzer werden gebeten, diese anzuwenden. CERT/CC empfiehlt den Anbietern, ihre HTTP/2-Implementierungen zu überprüfen und die Anzahl der vom Server gesendeten RST_STREAMs zu begrenzen. Weitere Strategien zur Minderung der Schwachstelle sind von den Meldern der Schwachstelle verfügbar."