Mastodawn

📢 MadeYouReset (CVE-2025-8671) : une vulnérabilité HTTP/2 DoS contournant la mitigation de Rapid Reset
📝 Source : Gal Bar Nahum's Blog — Le 13 août 2025, le chercheur Gal Bar Nahum a dévoilé « MadeYouReset » (CVE‑2025‑8671), une...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-15-madeyoureset-cve-2025-8671-une-vulnerabilite-http-2-dos-contournant-la-mitigation-de-rapid-reset/
🌐 source : https://galbarnahum.com/posts/made-you-reset-intro
#CVE_2025_8671 #DoS #Cyberveille

MadeYouReset (CVE-2025-8671) : une vulnérabilité HTTP/2 DoS contournant la mitigation de Rapid Reset

Source : Gal Bar Nahum’s Blog — Le 13 août 2025, le chercheur Gal Bar Nahum a dévoilé « MadeYouReset » (CVE‑2025‑8671), une vulnérabilité HTTP/2 de type déni de service qui exploite les mécanismes de contrôle de flux/erreurs du protocole pour contourner les limites de concurrence, en collaboration avec Prof. Anat Bremler‑Barr et Yaniv Harel (Université de Tel-Aviv), avec le soutien partiel d’Imperva. 🛑 Principe clé: MadeYouReset s’appuie sur l’idée de « Rapid Reset » (2023) mais avec un twist: au lieu que le client annule la requête, l’attaquant provoque des erreurs de flux afin que le serveur émette un RST_STREAM après le démarrage d’une requête valide. Comme les flux réinitialisés ne comptent plus dans MAX_CONCURRENT_STREAMS, le serveur poursuit souvent le travail backend (calcul de réponse) malgré la fermeture du flux côté HTTP/2, ce qui permet de créer un nombre non borné de travaux concurrents et d’induire un DoS.

CyberVeille

CybervVeille.ch Aug 15

📢 HTTP/2 « MadeYouReset » (CVE-2025-8671) : vulnérabilité DoS via frames de contrôle
📝 Le CERT Coordination Center (SEI/Carnegie Mellon) publie la Vulnerability Note VU#767506 (mise en ligne le 2025-08-13, révisée le 2025-08-14) décrivant « MadeYouReset » (CVE-...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-15-http-2-madeyoureset-cve-2025-8671-vulnerabilite-dos-via-frames-de-controle/
🌐 source : https://kb.cert.org/vuls/id/767506
#CVE_2025_8671 #DoS_DDoS #Cyberveille

HTTP/2 « MadeYouReset » (CVE-2025-8671) : vulnérabilité DoS via frames de contrôle

Le CERT Coordination Center (SEI/Carnegie Mellon) publie la Vulnerability Note VU#767506 (mise en ligne le 2025-08-13, révisée le 2025-08-14) décrivant « MadeYouReset » (CVE-2025-8671), une vulnérabilité affectant de nombreuses implémentations HTTP/2 et permettant des attaques par déni de service au moyen de frames de contrôle. Des CVE spécifiques à certains produits existent, comme CVE-2025-48989 pour Apache Tomcat. 🚨 La vulnérabilité repose sur un décalage entre la spécification HTTP/2 et l’architecture interne de nombreux serveurs : après qu’un flux est annulé (reset), des implémentations continuent à traiter la requête et à calculer la réponse sans l’envoyer. Un attaquant peut provoquer des resets de flux côté serveur à l’aide de frames malformées ou d’erreurs de contrôle de flux, créant un écart entre le comptage des flux HTTP/2 (qui les considère fermés) et le nombre réel de requêtes HTTP encore en traitement en backend. Résultat : un nombre non borné de requêtes peut être traité sur une seule connexion, menant à une surcharge CPU ou une épuisement mémoire et donc à un DoS/DDoS. La faille est similaire à CVE-2023-44487 (« Rapid Reset »), mais ici l’abus exploite des resets déclenchés côté serveur.

CyberVeille

Harry Sintonen Aug 13

"HTTP/2 implementations are vulnerable to "MadeYouReset" DoS attack through HTTP/2 control frames

MadeYouReset exploits a mismatch caused by stream resets between HTTP/2 specifications and the internal architectures of many real-world web servers. This results in resource exhaustion, and a threat actor can leverage this vulnerability to perform a distributed denial of service attack (DDoS)."

https://kb.cert.org/vuls/id/767506

#CVE_2025_8671 #infosec #cybersecurity

CERT/CC Vulnerability Note VU#767506

HTTP/2 implementations are vulnerable to "MadeYouReset" DoS attack through HTTP/2 control frames