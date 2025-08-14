The OpenNET Project / Index page

Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

14.08.2025 09:09

Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений.

Суть проблемы в том, что клиент может создать очень большое число одновременно обрабатываемых потоков, независимо от лимита SETTINGS_MAX_CONCURRENT_STREAMS, сбрасывая каждый поток на начальном этапе. Подобный сброс приводит к тому, что для отправки нового запроса в установленном соединении HTTP/2 клиенту не требуется жать ответа от сервера и можно сразу направить большой непрерывный поток запросов, насколько позволяет пропускная способность канала связи.

Клиент перестаёт зависеть от задержек между отправкой запроса и получением ответа (RTT, round-trip time) и может провести атаку с минимальными накладными расходами, при том что сервер продолжает тратить ресурсы на обработку поступающих запросов. Например, сервер осуществляет выделение структур данных под новые потоки, разбор запроса, распаковку заголовка и сопоставление URL с ресурсом. При атаке на обратные прокси, атака может распространиться на бэкенды, на которые прокси успеет перенаправить запрос до его сброса.

Уязвимость напоминает ранее известную проблему Rapid Reset (CVE-2023-44487) и вызвана расхождением логики сброса потоков, определённой в спецификации протокола HTTP/2 и реализованной в конечных продуктах. В спецификации предусмотрена возможность сброса потока клиентом и сервером в любой момент, но во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться. Ключевым отличием новой атаки является то, что сброс обработки запроса осуществляется по инициативе сервера, а не через отправку клиентом кадра с флагом RST_STREAM.

Сброс по инициативе сервера происходит при поступлении некорректных запросов, но подобные запросы отбрасываются сразу без начала их полноценной обработки и без передачи бэкенду. Для того, чтобы добиться полного цикла обработки запроса атакующий вначале может отправить корректный HTTP-запрос, но следом за ним передать некорректную последовательность управляющих кадров HTTP/2. Подобная активность приведёт к тому, что сервер начнёт полноценно обрабатывать запрос, но потом из-за ошибки при обработке следом идущих кадров сбросит поток (переведёт поток с корректным запросом в состояние RST_STREAM).

Наличие проблемы подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, Zephyr RTOS. Проблема проявляется также на сайтах и серверных сервисах Mozilla. Apache httpd, Apache Traffic Server, Node.js, LiteSpeed и HAProxy проблеме не подвержены. Статус наличия уязвимости в nginx не определён.

  Главная ссылка к новости (https://kb.cert.org/vuls/id/76...)
  2. OpenNews: Уязвимость в предлагаемой в Qt реализации протокола HTTP/2
  3. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
  4. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
  5. OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
  6. OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
  8.45, L10N (ok), 14:30, 14/08/2025  
    		• +/
    Вы почему так плохо по умолчанию думаете о людях Вообще говоря, мы говорим об о... текст свёрнут, показать
     
  7.25, Аноним (22), 12:17, 14/08/2025  
    		• +/
    Как там Юрий Меркулов поживает?
     
     
  8.48, L10N (ok), 14:43, 14/08/2025  
    		• +/
    Хм Я с ним работал в Доктор Веб в 2005-2011 Давно не общались Не знал, что он... текст свёрнут, показать
     
  2.28, Аноним (28), 12:37, 14/08/2025  
    		• +2 +/
    У гугло-юзеров всё как всегда - сайты от браузеров отличить не могут . :) Вот что ии  животворящий делает .
     

  1.16, Аноним (14), 11:40, 14/08/2025  
    		• +/
    А как пели про хттп/2, как его впи... внедряли.
     
     
  2.18, L10N (ok), 11:45, 14/08/2025  
    		• +3 +/
    Уязвимость не в протоколе, а в реализациях. Читайте внимательно :)
     
     
  3.37, Филя (?), 13:50, 14/08/2025  
    		• +1 +/
    А реализации кто-нибудь стандаризирует? Апачи Фаундейшен скажем. FIPS стандартизирует openssl для гос. сектора например, фстэк у вовы какие-то сетевые устройства перед использованием в гос. секторе и тп, в белоруссии вот ОАЦ есть, тоже этим занимаются. Мб знаете, не?
     
     
  4.49, L10N (ok), 14:45, 14/08/2025  
    		• +/
    Реализации могут сертифицировать. Например, есть ГОСТы по алгоритмам шифрования. Типа там "Кузнечик", "Магма". А когда кто-то их реализует в своих продуктах, то ФСБ потом может сертифицировать для применения в госсекторе. Но в общем случае стандартизуется протокол/алгоритм, а вот реализовывать можно по-разному.
     
  3.54, Аноним (54), 14:58, 14/08/2025  
    		• +/
    Выходы за границы буфера тоже не в спецификации, а в реализации. Думай.
     
     
  4.57, L10N (ok), 15:05, 14/08/2025  
    		• +/
    Да, в реализации. И что? От этого уязвимости не в реализации, а в том, что реализуется? :)
     
  2.19, Аноним (19), 11:45, 14/08/2025  
    		• +/
    Ну так скажи спасибо Гуглу за это. На моей памяти несколько разрабов, связанных с реализацией HTTP, просто на мат переходили, когда речь заходила о HTTP/2.
     
     
  3.20, L10N (ok), 11:46, 14/08/2025  
    		• –1 +/
    Ниасилили?
     
     
  4.47, Анонирм (?), 14:42, 14/08/2025  
    		• +/
    А вы осилили реализацию этого протокола? Или просто так пишите
     
     
  5.52, L10N (ok), 14:51, 14/08/2025  
    		• –3 +/
    А что там принципиально такого, что невозможно осилить? Протокол как протокол. Конкретно этот не осиливал, а когда в системной аналитике работал по сетевой безопасности, читал различные RFC в оригинале без словаря. И понимал, что там написано, ибо в разрабатываемом файерволле их поддержка реализовывалась. Ну, да, современные протоколы могут быть более сложными, чем более ранние. Но принципиально-то что изменилось? Есть спецификация протокола, ей можно следовать. Не бином Ньютона.
     
     
  6.53, Анонирм (?), 14:54, 14/08/2025  
    		• +1 +/
    > Конкретно этот не осиливал

    Вот когда осилите, тогда и приходите с критикой. А то получается что реальные разработчики были не в восторге, а вы их безосновательно критикуете, якобы не осилили. С себя начните.

     
     
  7.56, L10N (ok), 15:04, 14/08/2025  
    		• +/
    Ну, одни осиливают, другие не осиливают. Я думал, вы напишете, что конкретно этот протокол отличает от других. А вы пытаетесь оценивать меня. Конечно, HTTP/2 сложнее HTTP. Понятно, почему. Посмотрите, сколько лет прогресса между ними.
     
     
  8.59, Анонирм (?), 16:13, 14/08/2025  
    		• +/
    А чего ожидали, начав ветку с наброса про не осилили Грамотного технического ... текст свёрнут, показать
     
     
  9.63, L10N (ok), 17:17, 14/08/2025  
    		• +/
    Это был неявный вопрос о том, а на что именно ругались Может, что-то неудобно и... текст свёрнут, показать
     
  7.62, L10N (ok), 17:14, 14/08/2025  
    		• +/
    :)) Посмотрел, кто разработал RFC по HTTP/2. M. Thomson, Ed., Mozilla, C. Benfield, Ed., Apple Inc.
     
  3.60, Аноним (60), 16:14, 14/08/2025  
    		• +/
    > несколько разрабов […] просто на мат переходили

    Ну это проблемы с воспитанием тех разрабов. А своё-то мнение у тебя есть? Или тебе его матюки очередного быдла заменяют?

     
  3.61, Аноним (-), 16:33, 14/08/2025  
    		• +/
    > Ну так скажи спасибо Гуглу за это.

    Спасибо гугл! Без тебя бы сидели в пещерах))

    > На моей памяти несколько разрабов, связанных с реализацией HTTP, просто на мат переходили, когда речь заходила о HTTP/2.

    О, я помню дед матюкался, когда ему показали машину с автоматом.
    Типа понавыдумаыли ***ни, вот на Волге - коробас нормальный, а этот что? даже в гараже не починишь.
    А потом начал задвигать, что Настоящий Водитель умеет тормозить прерывисто и эти ваши АБС для лопухов.


     

  1.21, Аноним (21), 11:50, 14/08/2025  
    		• +2 +/
    очередной хакер с солонкой. расстрелять!
     
     
  2.24, Жироватт (ok), 12:02, 14/08/2025  
    		• +/
    Хакер сыпет соль в солонку не через отверстие, а через дырочки, дырочки - естественно - забиваются и соль начинает высыпаться наружу, и погребает под собой солонку.
    Легитимный юзер не может воспользоваться солонкой, не откопав её из-под насыпанной соли...
     
     
  3.40, Аноним (42), 14:03, 14/08/2025  
    		• –2 +/
    Очередной "мастер" аналогией, на таких "умников" найдётся порционная выдача соли в маленьких пакетиках.
     
     
  4.46, Admino (ok), 14:40, 14/08/2025  
    		• +/
    > порционная выдача соли в маленьких пакетиках.

    Роскомнадзор, залогинься.

     
  4.51, Аноним (-), 14:50, 14/08/2025  
    		• +1 +/
    > порционная выдача соли в маленьких пакетиках.

    О! Вы из Питера? (с)

    На этом сайте аналогии любят, особенно подобные котенку с дверцей))


     
  2.26, Аноним (22), 12:18, 14/08/2025  
    		• +/
    Только солонка стоит в кафе, в котором официанты роботы, а не люди.
     
     
  3.30, Аноним (30), 12:41, 14/08/2025  
    		• +/
    И все посетители - тоже
     
     
  • 4.33, Аноним (-), 12:52, 14/08/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  1.34, Аноним (34), 13:28, 14/08/2025  
    		• +/
    > Статус наличия уязвимости в nginx не определён.

    Так определяйте. Это самый популярный сервер в интернете, на минуту, а они про какой-то сраный апач пишут.

     
     
  2.35, Аноним (35), 13:36, 14/08/2025  
    		• +/
    Куда спешить, потом цапцарапнут готовое решение у апача.
     
  2.36, Аноним (36), 13:49, 14/08/2025  
    		• +/
    >HAProxy проблеме не подвержен

    Ключевые слова. А что там на бэкэнде используется значения не имеет.

     

  1.38, Аноним (38), 13:50, 14/08/2025  
    		• +1 +/
    >подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish

    Все какие-то "решения" серверов приложений. Настоящие серверы хттп не подвержены.

    >во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться

    Позорище, конечно. Ну ничего - в корпоративной разработке стыд испытывать некому.

     
     
  2.58, Аноним (58), 15:17, 14/08/2025  
    		• +/
    Что в очередной раз подтверждает: не надо любые сервера приложений голой ж... в интернет выставлять. И реализация HTTP/2 в них не нужна, для связи с реверс-прокси этот протокол бесполезен.
     

  1.41, Буквально (?), 14:06, 14/08/2025  
    		• +/
    "Мы хотим избавиться от задержек и сделаем протокол с обработкой запроса сразу по приходу первого же пакета".
Что же могло пойти не
    Что же могло пойти не так?
     

