最近 有關嚴重漏洞的資訊已在 HTTP/2 協議,命名為 MadeYouReset (CVE-2025-8671)。這是一種 允許攻擊者簡化拒絕服務攻擊 (DoS),透過操縱控制幀來耗盡伺服器資源。
導致這故障特別危險的原因是 設法逃避 HTTP/2 中整合的安全機制 稱為 MAX_CONCURRENT_STREAMS,旨在限制客戶端可以承受的並發請求數量。使用 MadeYouReset 後,這個限制消失了,伺服器幾乎可以承受無限量的請求。
脆弱性 這是眾所周知的攻擊的演變 2023 年的快速重置,儘管它引入了一個意想不到的轉折: 現在不再由客戶端取消請求,而是伺服器本身取消請求。 這會錯誤地重新啟動流程,以最小的攻擊者負載產生同樣毀滅性的影響。
MadeYouReset 的工作原理
要理解這個威脅,重要的是要了解 HTTP/2 的工作原理。該協定將通訊組織成流,每個流由請求和回應組成。為了保持平衡,設定了一個限制,以防止客戶端向伺服器發送過多的活動請求。然而, MadeYouReset 利用實施中的漏洞:p允許您發起有效請求,然後強制伺服器在幀序列中產生錯誤。
那個錯誤 觸發 RST_STREAM,理論上應該停止處理然而,在許多 HTTP/2 實作中,伺服器會繼續在背景執行請求,消耗寶貴的 CPU 和記憶體資源,即使流已被視為關閉。
透過這種方式,攻擊者可以無限重複這個過程。,發送幾乎不費力氣的最小請求,而伺服器卻被迫投入大量資源來滿足這些請求。
對伺服器和應用程式的影響
MadeYouReset 的影響範圍相當廣。已確認易受攻擊的系統包括 Apache Tomcat、Netty、Eclipse Jetty、Fastly、Varnish、Lighttpd、h2o、Pingora、BIND(在其 DNS over HTTPS 實作中)和 Zephyr RTOS,以及一些與 Mozilla 相關的服務。
最常見的後果是完全拒絕服務,但 在更嚴重的情況下,伺服器由於記憶體不足而崩潰(這取決於硬體容量、攻擊者的速度以及被攻擊的資源類型等因素。
即使請求不需要在後端進行密集處理,流的不斷創建和銷毀(幀解析、HPACK 壓縮、狀態維護)也會產生足夠的開銷,從而嚴重降低效能。
從 Rapid Reset 到 MadeYouReset
脆弱性 2023 年的快速重置已經證明了保護 HTTP/2 的安全有多麼困難。 防止併發濫用。在這種情況下,攻擊包括高速開啟和取消請求。實施的緩解措施相對簡單:限制每個客戶端允許的取消次數。
然而,MadeYouReset 避免了這種辯護。 由於重置並非由客戶端觸發,而是由伺服器在偵測到控制幀不一致後自行觸發,因此對客戶端取消的限制將失效。這使得「MadeYouReset」成為一個更難以阻止的威脅。
對網路的影響以及後續步驟
發現該漏洞的研究人員警告稱,HTTP/2 的不對稱特性使得漏洞具有巨大的破壞潛力。 攻擊者只需極少的資源就能破壞關鍵服務, 利用通常有利於現代網路效率和速度的設計。
雖然 Apache httpd、HAProxy、Node.js 或 LiteSpeed 等某些平台不受影響, 存在漏洞的項目名單很長,危及了互聯網基礎設施的很大一部分。 Nginx 的狀況尚未明確。
研究仍在繼續,供應商正在研究具體的緩解措施。同時,MadeYouReset 強調了網路通訊協定中效能與安全性之間的脆弱平衡。