Meerdere HTTP/2-implementaties zijn vatbaar gevonden voor een nieuwe aanvalstechniek genaamd MadeYoureset die kan worden onderzocht om krachtige aanslagen (DOS) -aanvallen (DOS) uit te voeren.
“MadeYoureset omzeilt de typische op de server opgelegde limiet van 100 gelijktijdige HTTP/2-aanvragen per TCP-verbinding van een client. Deze limiet is bedoeld om DOS-aanvallen te verminderen door het aantal gelijktijdige verzoeken te beperken die een klant kan verzenden,” onderzoekers Gal Bar Nahum, Anat Bremler-Barr, en Yaniv Harel.
“Met MadeYoureset kan een aanvaller vele duizenden verzoeken verzenden, waardoor een Denial-of-Service-toestand wordt gecreëerd voor legitieme gebruikers en, in sommige leveranciersimplementaties, escaleren in crashes buiten het geheugen.”
De kwetsbaarheid is de generieke CVE-ID toegewezen, CVE-2025-8671, hoewel de kwestie invloed heeft op verschillende producten, waaronder Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500), en Netty (CVE-2025-55163).
Made Youreset is de nieuwste fout in HTTP/2 na snelle reset (CVE-2023-44487) en HTTP/2-voortzetting van de voortzetting die mogelijk kan worden bewapend om grootschalige DOS-aanvallen te organiseren.
Net zoals de andere twee aanvallen gebruik maken van respectievelijk het RST_Stream -frame en de voortzettingsframes in het HTTP/2 -protocol om de aanval af te voeren, bouwt MadeYoureset op een snelle reset en de mitigatie ervan, dat het aantal streams beperkt dat een client kan annuleren met behulp van RST_Stream.
In het bijzonder profiteert het van het feit dat het rst_stream -frame wordt gebruikt voor zowel client -geïnitieerde annulering als om stroomfouten te signaleren. Dit wordt bereikt door zorgvuldig vervaardigde frames te verzenden die op onverwachte manieren worden geactiveerd, waardoor de server de stream moet resetten door een RST_Stream uit te geven.
“Voor Made Youreset om te werken, moet de stream beginnen met een geldig verzoek dat de server begint te werken en vervolgens een streamfout activeren, zodat de server RST_Stream uitzendt terwijl de backend het antwoord blijft berekenen,” legde Bar Nahum uit.
“Door bepaalde ongeldige besturingsframes te maken of het protocolsequencing op precies het juiste moment te schenden, kunnen we de server RST_Stream laten verzenden voor een stream die al een geldig verzoek droeg.”
De zes primitieven waardoor de server RST_Stream -frames verzendt, omvatten –
- Window_update frame met een toename van 0
- Prioriteitsframe waarvan de lengte niet 5 is (de enige geldige lengte ervoor)
- Prioriteitsframe dat een stroom van zichzelf afhankelijk maakt
- Window_Update frame met een toename waardoor het venster hoger is dan 2^31 – 1 (wat de grootste toegestane venstergrootte is)
- Headers frame verzonden nadat de client de stream heeft gesloten (via de vlag van de end_stream)
- Gegevensframe verzonden nadat de client de stream heeft gesloten (via de vlag van end_stream)
Deze aanval is opmerkelijk niet in het minst omdat het de noodzaak voor een aanvaller overbrengt om een RST_Stream -frame te verzenden, waardoor snelle reset -mitigaties volledig worden omzeild, en ook dezelfde impact heeft als de laatste.
In een advies zei het CERT-coördinatiecentrum (CERC/CC) dat MadeYoureset een mismatch exploiteert die wordt veroorzaakt door stroomresets tussen HTTP/2-specificaties en de interne architecturen van veel real-world webservers, wat resulteert in uitputting van hulpbronnen-iets dat een aanvaller kan exploiteren om een DOS-aanval te wekken.
“De ontdekking van server-geactiveerde snelle reset-kwetsbaarheden benadrukt de evoluerende complexiteit van modern protocolmisbruik,” zei Imperva. “Aangezien HTTP/2 een basis blijft voor webinfrastructuur en het beschermt tegen subtiele, spec-conforme aanvallen zoals MadeYoureset is kritischer dan ooit.”
Http/1.1 moet sterven
De openbaarmaking van MadeYoureset komt als Application Security Firm Portswigger gedetailleerde roman HTTP/1.1 Desync -aanvallen (aka HTTP -aanvraag Smokkel), inclusief een variant van Cl.0 genaamd 0.CL, die miljoenen websites blootstelt aan een vijandige overname. Akamai (CVE-2025-32094) en CloudFlare (CVE-2025-4366) hebben de problemen aangepakt.
HTTP-verzoeksmokkel is een beveiligingsexploitatie die van invloed is op het protocol van de applicatielaag die de inconsistentie misbruikt bij het parseren van niet-RFC-conforme HTTP-aanvragen door front-end en back-end servers, waardoor een aanvaller een aanvaller toestaat “een aanvraag te smokkelen en beveiligingsmaatregelen te stimuleren.
“HTTP/1.1 heeft een fatale fout: aanvallers kunnen extreme dubbelzinnigheid creëren over waar het ene verzoek eindigt, en het volgende verzoek begint,” zei James Kettle van Portswigger. “HTTP/2+ elimineert deze dubbelzinnigheid, waardoor Desync -aanvallen vrijwel onmogelijk zijn. Het eenvoudig mogelijk is om HTTP/2 op uw Edge -server in te schakelen is onvoldoende – het moet worden gebruikt voor de stroomopwaartse verbinding tussen uw reverse proxy- en oorsprongsserver.”
