摘要：在众多 HTTP/2 实现中发现一个严重缺陷暴露了一个危险的协议级漏洞，该漏洞使攻击者能够策划强大的拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击。

在众多 HTTP/2 实现中发现一个严重缺陷暴露了一个危险的协议级漏洞，该漏洞使攻击者能够策划强大的拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击。

该漏洞编号为 CVE-2025-8671，俗称“MadeYouReset”，它利用了 HTTP/2 规范与现实世界服务器实现之间的根本性不匹配。

特拉维夫大学的安全研究人员 Gal Bar Nahum、Anat Bremler-Barr 和 Yaniv Harel 发现了这一漏洞，这代表着多年来困扰互联网的类似攻击令人担忧的演变。

该漏洞的运作方式是滥用服务器发送的流重置，从而造成服务器认为它正在处理的活跃 HTTP/2 流的数量与它正在处理的实际后端 HTTP 请求数量之间的差异。

当攻击者使用畸形帧或流控制错误快速触发服务器重置时，该协议会将这些重置流视为已关闭且不活动。

然而，尽管流已重置，后端服务器仍继续处理请求，这使得攻击者可以强制单个连接处理无限数量的并发HTTP/2 请求。

这种根本性的架构缺陷将流取消功能变成了一种资源耗尽的武器。

HTTP/2引入了流取消功能，允许客户端和服务器在通信期间的任何时刻立即关闭流。

该协议包含一个 SETTINGS_MAX_CONCURRENT_STREAMS 参数，旨在通过限制每个会话的活动流数量来防止此类攻击。

理论上，这种安全措施应该可以保护服务器免受恶意流媒体请求的攻击。

然而，该漏洞利用了一个关键的实现漏洞：当服务器重置攻击者发起的流时，协议计费系统会将这些流标记为已关闭，并且不再将其计入并发流限制。与此同时，后端处理仍在继续进行。

攻击者通过反复发送重置请求，操纵服务器处理比任何安全参数允许的数量呈指数级增长的请求。

该协议将这些视为已关闭、不活动的流，但服务器后端仍继续处理它们，最终导致资源耗尽。

根据具体实现方式的不同，受害者可能会遭遇灾难性的 CPU 过载或毁灭性的内存耗尽。

MadeYouReset 与 CVE-2023-44487（通常称为“快速重置”）非常相似，后者利用客户端发送的流重置漏洞。

漏洞类别的这种连续性表明，HTTP/2 实现系统性地未能正确处理流重置的生命周期管理。

该公告指出，众多主要供应商和项目受到影响，包括Apache Tomcat、Mozilla、Red Hat、SUSE Linux、Netty、gRPC、Fastly、Varnish Software、Eclipse 基金会和 AMPHP。

许多厂商已经发布了补丁或公开声明来应对该漏洞。Apache Tomcat 尤其收到了 CVE-2025-48989 漏洞编号，用于描述其对该漏洞的实现。

计算机应急响应小组协调中心 (CERT/CC) 建议供应商对服务器发送的 RST_STREAM 帧的数量和速率实施更严格的限制，同时对其 HTTP/2 实现进行全面审查。

运行受影响的 HTTP/2 基础设施的组织应立即优先进行补丁修复。该漏洞具有 DDoS 攻击的潜在风险，因此对企图对关键基础设施发起大规模攻击的威胁组织来说极具吸引力。

安全团队应参考厂商发布的安全公告，应用可用的补丁程序，并在补丁程序部署完成之前考虑对重置帧实施额外的速率限制控制。更多技术细节和缓解策略可参阅漏洞报告者的补充材料。

来源：会杀毒的单反狗