HTTP/2 « MadeYouReset » (CVE-2025-8671) : vulnérabilité DoS via frames de contrôle
Le CERT Coordination Center (SEI/Carnegie Mellon) publie la Vulnerability Note VU#767506 (mise en ligne le 2025-08-13, révisée le 2025-08-14) décrivant « MadeYouReset » (CVE-2025-8671), une vulnérabilité affectant de nombreuses implémentations HTTP/2 et permettant des attaques par déni de service au moyen de frames de contrôle. Des CVE spécifiques à certains produits existent, comme CVE-2025-48989 pour Apache Tomcat. 🚨 La vulnérabilité repose sur un décalage entre la spécification HTTP/2 et l’architecture interne de nombreux serveurs : après qu’un flux est annulé (reset), des implémentations continuent à traiter la requête et à calculer la réponse sans l’envoyer. Un attaquant peut provoquer des resets de flux côté serveur à l’aide de frames malformées ou d’erreurs de contrôle de flux, créant un écart entre le comptage des flux HTTP/2 (qui les considère fermés) et le nombre réel de requêtes HTTP encore en traitement en backend. Résultat : un nombre non borné de requêtes peut être traité sur une seule connexion, menant à une surcharge CPU ou une épuisement mémoire et donc à un DoS/DDoS. La faille est similaire à CVE-2023-44487 (« Rapid Reset »), mais ici l’abus exploite des resets déclenchés côté serveur. ...