"VU#767506: Реализации HTTP/2 уязвимы к атаке типа "MadeYouReset" на отказ в обслуживании (DoS) посредством управляющих кадров HTTP/2"
Недавно обнаруженная уязвимость, известная как «MadeYouReset» (CVE-2025-8671), затрагивает множество реализаций HTTP/2. Эта ошибка позволяет осуществлять атаки типа «отказ в обслуживании» (DoS) путем эксплуатации несоответствия в обработке сброса потоков. Уязвимость возникает из-за того, что, хотя спецификации HTTP/2 считают сброшенный поток закрытым, многие серверные реализации продолжают обрабатывать запрос внутренне. Это расхождение означает, что клиент может запустить неограниченное количество параллельных запросов на одном соединении. Атакующие могут использовать это, быстро отправляя кадры сброса, что приводит к истощению ресурсов на сервере. Основным последствием является потенциал для распределенных атак «отказ в обслуживании» (DDoS), что приводит к перегрузке сервера или истощению памяти. Хотя HTTP/2 имеет настройку для максимального количества параллельных потоков, сброшенные потоки не учитываются в этом лимите. Эта уязвимость аналогична атаке «Быстрый сброс» (CVE-2023-44487). Несколько поставщиков выпустили патчи, и пользователям рекомендуется их применить. CERT/CC рекомендует поставщикам проверить свои реализации HTTP/2 и ограничить серверные RST_STREAM. Дополнительные стратегии смягчения доступны от сообщающих об уязвимости.