2025年8月15日

CERT/CC（計算機應急響應協調中心）近日發布漏洞公告，警告多個HTTP/2實現中新發現的缺陷可能被威脅行為者用于發起高效拒絕服務（DoS）或分布式拒絕服務（DDoS）攻擊。該漏洞被非正式命名為"MadeYouReset"，編號CVE-2025-8671，其根源在于眾多服務器處理服務端發起的流重置（server-sent stream resets）的方式。

漏洞原理分析

CERT/CC指出："MadeYouReset利用了HTTP/2規范與實際Web服務器內部架構在流重置處理上的不匹配。這會導致資源耗盡，威脅行為者可借此漏洞實施分布式拒絕服務攻擊（DDoS）。"

該漏洞與編號CVE-2023-44487（俗稱"Rapid Reset"）的漏洞存在相似性，但后者濫用的是客戶端發起的流重置。而MadeYouReset則利用服務端發起的流重置，觸發后端持續處理已被協議視為關閉的數據流。

CERT/CC解釋稱："在數據流被取消后，許多實現方案仍會繼續處理請求、計算響應，但不會將響應返回給客戶端。"這種HTTP/2流統計與后端請求處理之間的差異，使得攻擊者能夠通過單一連接向服務器發送無限并發請求。

攻擊機制詳解

攻擊者會打開多個HTTP/2數據流，然后通過畸形幀或流量控制錯誤快速觸發服務器重置這些流。理論上，協議的SETTINGS_MAX_CONCURRENT_STREAMS限制應能防止過載。然而一旦流被重置，HTTP/2層便不再將其計入限制——但后端服務器仍會繼續處理該流。

這種設計缺陷意味著攻擊者可維持持續的"重置流"，迫使服務器處理遠超設計容量的活躍請求，最終導致CPU高負載或內存耗盡，引發服務中斷。

潛在危害評估

CERT/CC警告稱："利用該漏洞的威脅行為者很可能通過迫使服務器處理極高數量的并發請求，使目標系統離線或嚴重限制客戶端的連接可能性。"根據具體HTTP/2實現方式的不同，攻擊可能導致CPU過載或內存耗盡，在攻擊期間使關鍵服務癱瘓。

修復建議

多家廠商已發布針對MadeYouReset的補丁或安全公告。CERT/CC敦促各組織及時查閱廠商聲明并應用更新。同時建議HTTP/2產品開發者與維護者采取以下措施：

• 限制服務端發送RST_STREAM幀的數量或速率
• 審計HTTP/2實現中存在的后端處理不匹配問題
• 參考漏洞報告者技術文檔中描述的其他緩解措施