VU#767506:HTTP/2 实现容易受到通过 HTTP... 笔记

VU#767506:HTTP/2 实现容易受到通过 HTTP/2 控制帧发起的“MadeYouReset”拒绝服务攻击。

一项新发现的漏洞,名为“MadeYouReset”(CVE-2025-8671),影响了许多 HTTP/2 实现。此漏洞通过利用流重置处理方式的不匹配,允许拒绝服务 (DoS) 攻击。该漏洞的产生是因为,尽管 HTTP/2 规范将重置的流视为已关闭,但许多服务器实现仍在内部继续处理请求。这种差异意味着客户端可以在单个连接上触发无限数量的并发请求。攻击者可以通过快速发送重置帧来利用这一点,导致服务器资源耗尽。主要影响是可能发生分布式拒绝服务 (DDoS) 攻击,导致服务器过载或内存耗尽。虽然 HTTP/2 有最大并发流的设置,但重置流并未计入此限制。此漏洞与“Rapid Reset”攻击(CVE-2023-44487)类似。多家供应商已发布补丁,建议用户尽快安装。CERT/CC 建议供应商审查其 HTTP/2 实现,并限制服务器发送的 RST_STREAM。漏洞报告者还提供了额外的缓解策略。