「VU#767506: HTTP/2 実装は HTTP/2 ... ノート

「VU#767506: HTTP/2 実装は HTTP/2 制御フレームを介した「MadeYouReset」DoS 攻撃に対して脆弱」

「MadeYouReset」(CVE-2025-8671)として知られる最近発見された脆弱性は、多くのHTTP/2実装に影響を与えます。この脆弱性は、ストリームリセットの処理方法の不一致を悪用することで、サービス拒否(DoS)攻撃を可能にします。この脆弱性は、HTTP/2の仕様ではリセットされたストリームは閉じられたと見なされる一方で、多くのサーバー実装では内部的にリクエストの処理を継続するため、発生します。この不一致により、クライアントは単一の接続で無制限の数の同時リクエストをトリガーできます。攻撃者は、リセットフレームを急速に送信することで、サーバーのリソースを枯渇させることができます。主な影響は、分散型サービス拒否(DDoS)攻撃の可能性であり、サーバーの過負荷やメモリ枯渇につながります。HTTP/2には最大同時ストリーム数の設定がありますが、リセットされたストリームはこの制限内にカウントされません。この脆弱性は、「Rapid Reset」攻撃(CVE-2023-44487)に似ています。複数のベンダーがパッチをリリースしており、ユーザーは適用することが推奨されます。CERT/CCは、ベンダーがHTTP/2実装を見直し、サーバーから送信されるRST_STREAMを制限することを推奨しています。脆弱性の報告者からは、追加の緩和策が利用可能です。