Исследователи Гал Бар Нахум, Анат Бремлер-Барр и Янив Харел обнаружили новую критическую уязвимость в протоколе HTTP/2, получившую название MadeYouReset. Эта уязвимость, идентифицированная как CVE-2025-8671, позволяет проводить мощные DoS-атаки (отказ в обслуживании), которые обходят стандартные защитные механизмы серверов. Атака способна привести к исчерпанию ресурсов и сбою в работе сервера.
Основное воздействие MadeYouReset заключается в обходе стандартного ограничения сервера на 100 одновременных HTTP/2 запросов на одно TCP-соединение. Это позволяет злоумышленнику отправлять тысячи запросов, перегружая систему. В некоторых реализациях серверного программного обеспечения это может привести к сбоям из-за нехватки памяти. Данная уязвимость является развитием предыдущих атак на HTTP/2, таких как Rapid Reset (CVE-2023-44487), основанной на злоупотреблении кадрами
Технический механизм атаки MadeYouReset основан на том, что злоумышленник заставляет сам сервер инициировать сброс потока (stream reset). Атакующий отправляет корректный запрос, который сервер начинает обрабатывать. Сразу после этого отправляются специально сформированные, невалидные кадры, вызывающие нарушение протокола. В ответ на это сервер генерирует кадр
Для инициации сброса потока сервером используются шесть конкретных методов (примитивов). Первый метод заключается в отправке кадра
Остальные три метода продолжают этот список. Четвертый примитив — отправка кадра
Координационный центр CERT (CERT/CC) заявил, что уязвимость эксплуатирует «несоответствие между спецификациями HTTP/2 и архитектурой серверов, что приводит к исчерпанию ресурсов». Компания Imperva прокомментировала ситуацию, отметив «растущую сложность злоупотреблений современными протоколами» и критическую необходимость защиты веб-инфраструктуры.
Уязвимость MadeYouReset затронула ряд популярных продуктов. Для Apache Tomcat был выпущен идентификатор CVE-2025-48989, для F5 BIG-IP — CVE-2025-54500, а для библиотеки Netty — CVE-2025-55163. Администраторам систем, использующих данное программное обеспечение, необходимо применить соответствующие обновления безопасности.
Параллельно с этим компания PortSwigger сообщила о фундаментальном недостатке в протоколе HTTP/1.1, который делает возможными атаки типа HTTP request smuggling (контрабанда HTTP-запросов). Ведущий исследователь Джеймс Кеттл утверждает, что злоумышленники могут создавать «крайнюю неоднозначность» в определении границ запросов, что ставит под угрозу миллионы веб-сайтов и может привести к их полному захвату.
Суть атаки заключается в использовании несоответствий при обработке нестандартных HTTP-запросов между внешним сервером (например, обратным прокси) и внутренним сервером. Это позволяет злоумышленнику «протащить» вредоносный запрос на внутренний сервер. Был представлен новый вариант атаки CL.0, названный , который демонстрирует продолжающуюся эволюцию этих методов.
Решением проблемы является полный переход на протокол HTTP/2 или выше. В этих версиях протокола неоднозначность границ запросов устранена, что делает атаки десинхронизации «практически невозможными». Однако простой активации HTTP/2 на пограничном сервере недостаточно для полноценной защиты.
Для эффективного противодействия атакам десинхронизации необходимо обеспечить использование HTTP/2 на всем пути следования запроса, включая соединение между обратным прокси и конечным сервером (origin server). Только сквозное использование обновленного протокола гарантирует защиту от этого класса уязвимостей.
В ответ на обнаруженные проблемы компании уже предприняли шаги по их устранению. Akamai выпустила исправление под идентификатором CVE-2025-32094, а Cloudflare — под CVE-2025-4366, чтобы защитить свою инфраструктуру и клиентов от атак десинхронизации HTTP/1.1.
Изображение носит иллюстративный характер
Основное воздействие MadeYouReset заключается в обходе стандартного ограничения сервера на 100 одновременных HTTP/2 запросов на одно TCP-соединение. Это позволяет злоумышленнику отправлять тысячи запросов, перегружая систему. В некоторых реализациях серверного программного обеспечения это может привести к сбоям из-за нехватки памяти. Данная уязвимость является развитием предыдущих атак на HTTP/2, таких как Rapid Reset (CVE-2023-44487), основанной на злоупотреблении кадрами
RST_STREAM, и HTTP/2 CONTINUATION Flood, использующей кадры CONTINUATION. Технический механизм атаки MadeYouReset основан на том, что злоумышленник заставляет сам сервер инициировать сброс потока (stream reset). Атакующий отправляет корректный запрос, который сервер начинает обрабатывать. Сразу после этого отправляются специально сформированные, невалидные кадры, вызывающие нарушение протокола. В ответ на это сервер генерирует кадр
RST_STREAM для данного потока, однако внутренний (backend) сервер продолжает обработку первоначального запроса, потребляя ресурсы. Такой подход обходит защиту от Rapid Reset, поскольку кадр сброса отправляет не клиент, а сам сервер. Для инициации сброса потока сервером используются шесть конкретных методов (примитивов). Первый метод заключается в отправке кадра
WINDOW_UPDATE с нулевым приращением. Второй — отправка кадра PRIORITY, длина которого не равна 5 байтам. Третий — использование кадра PRIORITY для создания циклической зависимости потока от самого себя. Остальные три метода продолжают этот список. Четвертый примитив — отправка кадра
WINDOW_UPDATE, приращение которого приводит к переполнению окна управления потоком (превышению значения 2^31 − 1). Пятый и шестой методы заключаются в отправке кадров HEADERS или DATA соответственно уже после того, как клиент закрыл поток с помощью флага END_STREAM. Координационный центр CERT (CERT/CC) заявил, что уязвимость эксплуатирует «несоответствие между спецификациями HTTP/2 и архитектурой серверов, что приводит к исчерпанию ресурсов». Компания Imperva прокомментировала ситуацию, отметив «растущую сложность злоупотреблений современными протоколами» и критическую необходимость защиты веб-инфраструктуры.
Уязвимость MadeYouReset затронула ряд популярных продуктов. Для Apache Tomcat был выпущен идентификатор CVE-2025-48989, для F5 BIG-IP — CVE-2025-54500, а для библиотеки Netty — CVE-2025-55163. Администраторам систем, использующих данное программное обеспечение, необходимо применить соответствующие обновления безопасности.
Параллельно с этим компания PortSwigger сообщила о фундаментальном недостатке в протоколе HTTP/1.1, который делает возможными атаки типа HTTP request smuggling (контрабанда HTTP-запросов). Ведущий исследователь Джеймс Кеттл утверждает, что злоумышленники могут создавать «крайнюю неоднозначность» в определении границ запросов, что ставит под угрозу миллионы веб-сайтов и может привести к их полному захвату.
Суть атаки заключается в использовании несоответствий при обработке нестандартных HTTP-запросов между внешним сервером (например, обратным прокси) и внутренним сервером. Это позволяет злоумышленнику «протащить» вредоносный запрос на внутренний сервер. Был представлен новый вариант атаки CL.0, названный , который демонстрирует продолжающуюся эволюцию этих методов.
Решением проблемы является полный переход на протокол HTTP/2 или выше. В этих версиях протокола неоднозначность границ запросов устранена, что делает атаки десинхронизации «практически невозможными». Однако простой активации HTTP/2 на пограничном сервере недостаточно для полноценной защиты.
Для эффективного противодействия атакам десинхронизации необходимо обеспечить использование HTTP/2 на всем пути следования запроса, включая соединение между обратным прокси и конечным сервером (origin server). Только сквозное использование обновленного протокола гарантирует защиту от этого класса уязвимостей.
В ответ на обнаруженные проблемы компании уже предприняли шаги по их устранению. Akamai выпустила исправление под идентификатором CVE-2025-32094, а Cloudflare — под CVE-2025-4366, чтобы защитить свою инфраструктуру и клиентов от атак десинхронизации HTTP/1.1.
