"VU#767506: HTTP/2 구현체가 HTTP/2... 노트

"VU#767506: HTTP/2 구현체가 HTTP/2 제어 프레임을 통해 "MadeYouReset" DoS 공격에 취약합니다."

"최근에 발견된 "MadeYouReset"(CVE-2025-8671)이라는 취약점은 수많은 HTTP/2 구현에 영향을 미칩니다. 이 결함은 스트림 재설정이 처리되는 방식의 불일치를 악용하여 서비스 거부(DoS) 공격을 가능하게 합니다. 이 취약점은 HTTP/2 사양에서 재설정된 스트림을 닫힌 것으로 간주하는 반면, 많은 서버 구현에서 내부적으로 요청 처리를 계속하기 때문에 발생합니다. 이 차이는 클라이언트가 단일 연결에서 무제한적인 수의 동시 요청을 트리거할 수 있음을 의미합니다. 공격자는 이를 빠르게 재설정 프레임을 전송하여 서버의 리소스 고갈을 유발함으로써 활용할 수 있습니다. 주요 영향은 서버 과부하 또는 메모리 고갈을 초래하는 분산 서비스 거부(DDoS) 공격의 잠재력입니다. HTTP/2에는 최대 동시 스트림 설정이 있지만, 재설정된 스트림은 이 제한 내에서 계산되지 않습니다. 이 취약점은 "Rapid Reset" 공격(CVE-2023-44487)과 유사합니다. 여러 공급업체에서 패치를 출시했으며, 사용자는 이를 적용하는 것이 좋습니다. CERT/CC는 공급업체가 HTTP/2 구현을 검토하고 서버에서 보낸 RST_STREAM 수를 제한할 것을 권장합니다. 추가 완화 전략은 취약점 보고자로부터 얻을 수 있습니다."