Le CERT Coordination Center (SEI/Carnegie Mellon) publie la Vulnerability Note VU#767506 (mise en ligne le 2025-08-13, révisée le 2025-08-14) décrivant « MadeYouReset » (CVE-2025-8671), une vulnérabilité affectant de nombreuses implémentations HTTP/2 et permettant des attaques par déni de service au moyen de frames de contrôle. Des CVE spécifiques à certains produits existent, comme CVE-2025-48989 pour Apache Tomcat.

🚨 La vulnérabilité repose sur un décalage entre la spécification HTTP/2 et l’architecture interne de nombreux serveurs : après qu’un flux est annulé (reset), des implémentations continuent à traiter la requête et à calculer la réponse sans l’envoyer. Un attaquant peut provoquer des resets de flux côté serveur à l’aide de frames malformées ou d’erreurs de contrôle de flux, créant un écart entre le comptage des flux HTTP/2 (qui les considère fermés) et le nombre réel de requêtes HTTP encore en traitement en backend. Résultat : un nombre non borné de requêtes peut être traité sur une seule connexion, menant à une surcharge CPU ou une épuisement mémoire et donc à un DoS/DDoS. La faille est similaire à CVE-2023-44487 (« Rapid Reset »), mais ici l’abus exploite des resets déclenchés côté serveur.

🧩 Le paramètre HTTP/2 SETTINGS_MAX_CONCURRENT_STREAMS est inopérant dans ce scénario : lorsqu’un flux est reset, le protocole ne le compte plus comme actif, alors que le serveur backend continue à le traiter. Cela permet à un client malveillant de contourner la limite théorique de flux concurrents.

🛠️ Plusieurs fournisseurs ont publié des correctifs ou des déclarations. Le CERT/CC recommande aux éditeurs utilisant HTTP/2 d’examiner leur implémentation et de limiter le nombre/le débit de RST_STREAM émis par le serveur. La note renvoie à des matériels complémentaires des rapporteurs pour des pistes de mitigation. 118 fournisseurs sont listés, avec notamment des statuts pour AMPHP, Apache Tomcat, Eclipse Foundation, Fastly, gRPC, Mozilla, Netty, SUSE Linux, Varnish Software et Wind River.

IOCs et TTPs:

  • IOCs: aucun indicateur publié par la source.
  • TTPs:
    • Exploitation de frames de contrôle HTTP/2 (dont RST_STREAM) pour provoquer des resets côté serveur
    • Déclenchement d’erreurs de contrôle de flux et envoi de frames malformées
    • Saturation du backend via un nombre non borné de requêtes traitées sur une seule connexion

Il s’agit d’un rapport de vulnérabilité visant à centraliser l’information technique et les réponses éditeurs autour de « MadeYouReset » et de ses impacts.

🔗 Source originale : https://kb.cert.org/vuls/id/767506