New HTTP/2 MadeYouReset Vulnerability Enables Large-Scale DoS Attacks
Mis à jour :
MadeYouReset : Une nouvelle vulnérabilité HTTP/2 pour les attaques par déni de service
Une nouvelle technique d’attaque nommée “MadeYouReset” a été découverte, affectant plusieurs implémentations du protocole HTTP/2. Cette faille permet de contourner les limites de requêtes simultanées imposées par les serveurs, ouvrant la voie à des attaques par déni de service (DoS) à grande échelle.
Points Clés :
- Contournement des limitations : MadeYouReset permet à un attaquant d’envoyer des milliers de requêtes, dépassant la limite habituelle de 100 requêtes HTTP/2 concurrentes par connexion TCP.
- Cause du Déni de Service : L’abus de cette vulnérabilité peut entraîner une condition de déni de service pour les utilisateurs légitimes et, dans certains cas, des plantages par manque de mémoire sur le serveur.
- Exploitation de l’erreur de protocole : L’attaque exploite le fait que la trame RST_STREAM est utilisée à la fois pour l’annulation des flux initiée par le client et pour signaler des erreurs de flux. En envoyant des trames malveillantes qui violent les règles du protocole, l’attaquant peut forcer le serveur à réinitialiser un flux qui était déjà en cours de traitement d’une requête valide.
- Impact similaire à Rapid Reset : MadeYouReset atteint un impact comparable à celui de l’attaque Rapid Reset (CVE-2023-44487) en contournant les mesures d’atténuation de celle-ci.
Vulnérabilités :
- Générique : CVE-2025-8671
- Produits Affectés :
- Apache Tomcat : CVE-2025-48989
- F5 BIG-IP : CVE-2025-54500
- Netty : CVE-2025-55163
Mécanismes d’Exploitation possibles des trames RST_STREAM :
- Trame WINDOW_UPDATE avec un incrément de 0.
- Trame PRIORITY dont la longueur n’est pas de 5.
- Trame PRIORITY qui rend un flux dépendant de lui-même.
- Trame WINDOW_UPDATE avec un incrément qui dépasse la taille maximale de fenêtre autorisée (2^31 − 1).
- Trame HEADERS envoyée après la fermeture du flux par le client (avec le flag END_STREAM).
- Trame DATA envoyée après la fermeture du flux par le client (avec le flag END_STREAM).
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations spécifiques pour MadeYouReset, il souligne l’importance de la sécurité HTTP/2. La mention de correctifs pour des vulnérabilités similaires dans HTTP/1.1 (comme les attaques par dévoiement de requêtes HTTP) suggère que la mise à jour des implémentations et l’application stricte des protocoles sont essentielles. Il est également mentionné que l’activation d’HTTP/2 sur les serveurs de bord n’est pas suffisante ; son utilisation doit être étendue aux connexions entre le proxy inverse et le serveur d’origine.