研究人員揭露HTTP/2一項新漏洞,可使攻擊者繞過HTTP/2的防護機制,發動大規模系統阻斷服務(Denial of Service, DoS)攻擊,甚至系統崩潰。
這項漏洞是由以色列台拉維夫(Tel-Aviv)大學研究人員及Imperva合作發現,並由CERT/CC發佈。
本漏洞正式名為MadeYouReset,研究人員說,本漏洞從核心問題及破壞威力而言可比2023年衝擊多項服務的Rapid Reset漏洞。
技術而言,MadeYouReset是繞過伺服器端設定,用戶端發送的TCP 連線每道連線最多允許100個同時HTTP/2呼叫。這種限制是藉由限制單一用戶端的同時呼叫量,以防範DoS攻擊。
MadeYouReset漏洞讓攻擊者可由單一用戶端發送數千請求,導致合法使用者的DoS攻擊條件。攻擊者在呼叫中加入異常頁框(frame)或flow control錯誤,開啟大量資料流並快速觸發伺服器重設資料流。此手法造成HTTP/2協定面關閉,實則伺服器後端仍繼續處理呼叫,攻擊者透過重複本動作造成伺服器、記憶體及系統資源被大量佔用,形成阻斷服務。在某些實作中,本攻擊可造成系統記憶體耗盡而崩潰。
MadeYouReset影響數項產品的HTTP/2實作。MadeYouReset正式編號為CVE-2025-8671。但在個別產品中有不同編號。在開源Java Web Server專案Apache Tomcat為CVE-2025-48989(高風險),在 F5 BIG-IP為CVE-2025-54500(CVSS score:6.9),在開源Java 網路應用框架Netty為CVE-2025-55163(CVSS score:7.5)。
上述廠商已釋出更新軟體或修補程式修補這項漏洞。其中影響開源社群的Apache Tomcat已釋出Tomcat 11.0.10、10.1.44、9.0.108。Netty則釋出netty 4.2.4.Final。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-12-04
2025-11-30