Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63726

• Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 10:28 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 10:41 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Голдер и Рита, 10:44 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 11:32 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 10:51 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Жироватт, 11:02 , 14-Авг-25
        • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 11:07 , 14-Авг-25
          • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 11:57 , 14-Авг-25
            • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 14:27 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 10:49 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 14:08 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 14:48 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 10:53 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 10:56 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 11:38 , 14-Авг-25
        • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 11:43 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Жироватт, 10:57 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 10:59 , 14-Авг-25
        • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Жироватт, 11:04 , 14-Авг-25
          • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 11:08 , 14-Авг-25
            • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Жироватт, 11:59 , 14-Авг-25
              • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 12:20 , 14-Авг-25
                • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 12:49 , 14-Авг-25
              • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 14:30 , 14-Авг-25
            • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 12:17 , 14-Авг-25
              • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 14:43 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 12:37 , 14-Авг-25
• Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 11:40 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 11:45 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Филя, 13:50 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 14:45 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 14:58 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 15:05 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,12yoexpert, 18:54 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 11:45 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 11:46 , 14-Авг-25
      • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Анонирм, 14:42 , 14-Авг-25
        • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 14:51 , 14-Авг-25
          • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Анонирм, 14:54 , 14-Авг-25
            • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 15:04 , 14-Авг-25
              • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Анонирм, 16:13 , 14-Авг-25
                • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 17:17 , 14-Авг-25
              • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 19:10 , 14-Авг-25
            • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 17:14 , 14-Авг-25
          • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,nuclight, 17:37 , 14-Авг-25
            • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,L10N, 18:07 , 14-Авг-25
              • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 19:15 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 16:14 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 16:33 , 14-Авг-25
• Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 13:28 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 13:36 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 13:49 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 19:17 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,1, 18:06 , 14-Авг-25
• Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 13:50 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 15:17 , 14-Авг-25
• Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Буквально, 14:06 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 14:25 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 14:59 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 19:19 , 14-Авг-25
  • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Oe, 19:20 , 14-Авг-25
    • Уязвимость в реализациях протокола HTTP/2, упрощающая провед...,Аноним, 20:37 , 14-Авг-25

>"Проблема проявляется также на сайтах и серверных сервисах Mozilla."

У Mozilla всегда проблемы, она без них не может! 4% рынка как не как! Уже дропать и  закапывать надо!

Они и так уже уволили инженеров, чтобы хватило на откат CEO. Что ещё ты хочешь? Берут, что есть в опенсорсе.

Жалко их, конечно.

а вот не надо было изобретать безопасные языки, что, помогли они, сынку? (с)

Не успеваю переводить на русский всё, что они в последнее время создают в плане функций (GUI & KB). Только в последнем релизе Firefox появилось 12, если правильно помню, новых разработчиков в сообществе. В release notes сейчас их перечисляют.

Уязвимость как уязвимость. Разберутся.

А что там переводить-то?
- GetInclusiveDict()
- TranslateFromNormalToInclusiveLang(string WASP_Word)
- AddNewPrideMonthTheme()
- RoundNewTabMoreInnovatuvely()
- AddNewProbeInYourA55()

в переводах не нуждаются.

Зайдите в Pontoon и в SUMO, посмотрите. Десятки проектов, от десятков до сотен строк в день, от нескольких до десятков изменений в статьях KB. Почти каждый вечер что-то обновляю/добавляю.

Куда-куда пойти?

Это сервисы, которые в Mozilla используются для локализации GUI продуктов и сервисов (включая сайты) и справочных статей соответственно. Кстати, доступ для всех свободен, любой может принять участие.

4% рынка - в цифрах от 115 до 300 млн активных пользователей по разным оценкам. Каждому бы софту такую долю рынка. Например, доля рынка Linux на рынке ОС - 4-6%. И у Mozilla не только проблемы. Они не только софт производят, но и разрабатывают стандарты типа DNS over HTTPS, где они в соавторах RFC, языков (Rust изначально разрабатывался Mozilla) и т.п. Не принижайте :)

То есть заниматься чем угодно, кроме браузера - однозначно надо дропать.

Подобные комментарии странные. Если вы хотите, чтобы кто-то занимался только тем, что вам хочется, то что вы для этого сделали? Если хотите заниматься браузером, у вас есть такая возможность. Браузер открытый и все желающие могут принимать участие в разработке и развитии. И делают это :)

> У Mozilla всегда проблемы, она без них не может! 4% рынка как не как!
> Уже дропать и  закапывать надо!

Дизайнеры и манагеры не умеют в код и протоколы. Вот например принять решение о том как еще кровати переставить, тьфу, то-есть контролы - это они всегда пожалуйста.

У вас тоже дизайнеры занимаются разработкой и протоколами?

Ты недооцениваешь мощь ИИ и "имхо" дизайнеров!

Мне сложно относиться к ИИ необъективно, я знаю, как они устроены :)

Ты забыл про форму вкладок!

UX тоже важен и Mozilla реагирует на то, что пользователи запрашивают в Mozilla Connect, почему нет. Но под капотом происходят куда более значительные изменения, если их отслеживать.

Опппачки, мозилловцы нам даже собственного продавайку выделили.
Ты только на опеннете проповедовать будешь, или оплатили пеар по спектру русскоязычных сайтов?

Под капотом там, изменения, ага.

Нет, я Mozilla занимаюсь pro bono. Хотите запретить? Лидер русской локализации, приятно познакомиться :)

Не, мне реально интересно. Ну рад познакомится, Лидер.
За монетку подрядили переводчика подрабатывать евангелистом на опеннете, або за так, за идею работаешь?

> на опеннете, або за так, за идею работаешь?

Ну, с ним предположим понятно.
А ты свои продукты жизнедеятельности по какой причине по форуму размазываешь?
Расскажи всем где тебя Мозилла трогала.

Здесь половина пациентов тронутая на теме безопасных языков, за это Мозиллу и ненавидят.

Вы почему так плохо по умолчанию думаете о людях? Вообще говоря, мы говорим об опенсорсе. Опенсорсные продукты развиваются сообществами. Это если вы не знаете. У меня есть работа, достаточно хорошая работа. А это нечто вроде хобби. 20 лет использую продукты Mozilla и где-то 10 лет локализую справку и GUI. Это и языковая тренировка, и отслеживаю, что происходит в мире веба, да и просто прикольно. Свободные продукты создают свободные люди :)

Как там Юрий Меркулов поживает?

Хм. Я с ним работал в Доктор Веб в 2005-2011. Давно не общались. Не знал, что он тут обзоры на Firefox в 2005 писал. Но, кстати, да, меня продуктами Mozilla заразили именно в этой компании, но не конкретно он.

У гугло-юзеров всё как всегда - сайты от браузеров отличить не могут . :) Вот что ии  животворящий делает .

А как пели про хттп/2, как его впи... внедряли.

Уязвимость не в протоколе, а в реализациях. Читайте внимательно :)

А реализации кто-нибудь стандаризирует? Апачи Фаундейшен скажем. FIPS стандартизирует openssl для гос. сектора например, фстэк у вовы какие-то сетевые устройства перед использованием в гос. секторе и тп, в белоруссии вот ОАЦ есть, тоже этим занимаются. Мб знаете, не?

Реализации могут сертифицировать. Например, есть ГОСТы по алгоритмам шифрования. Типа там "Кузнечик", "Магма". А когда кто-то их реализует в своих продуктах, то ФСБ потом может сертифицировать для применения в госсекторе. Но в общем случае стандартизуется протокол/алгоритм, а вот реализовывать можно по-разному.

Выходы за границы буфера тоже не в спецификации, а в реализации. Думай.

Да, в реализации. И что? От этого уязвимости не в реализации, а в том, что реализуется? :)

а теперь сравни спецификацию http 1.1 и http 2 и хорошенько подумай

Ну так скажи спасибо Гуглу за это. На моей памяти несколько разрабов, связанных с реализацией HTTP, просто на мат переходили, когда речь заходила о HTTP/2.

Ниасилили?

А вы осилили реализацию этого протокола? Или просто так пишите

А что там принципиально такого, что невозможно осилить? Протокол как протокол. Конкретно этот не осиливал, а когда в системной аналитике работал по сетевой безопасности, читал различные RFC в оригинале без словаря. И понимал, что там написано, ибо в разрабатываемом файерволле их поддержка реализовывалась. Ну, да, современные протоколы могут быть более сложными, чем более ранние. Но принципиально-то что изменилось? Есть спецификация протокола, ей можно следовать. Не бином Ньютона.

> Конкретно этот не осиливал

Вот когда осилите, тогда и приходите с критикой. А то получается что реальные разработчики были не в восторге, а вы их безосновательно критикуете, якобы не осилили. С себя начните.

Ну, одни осиливают, другие не осиливают. Я думал, вы напишете, что конкретно этот протокол отличает от других. А вы пытаетесь оценивать меня. Конечно, HTTP/2 сложнее HTTP. Понятно, почему. Посмотрите, сколько лет прогресса между ними.

> А вы пытаетесь оценивать меня.

А чего ожидали, начав ветку с наброса про "не осилили"? Грамотного технического обсуждения?

Это был неявный вопрос о том, а на что именно ругались. Может, что-то неудобно или неочевидно описано. Извиняюсь, если задело, не имел такой цели :)

HTTP/2 был создан с одной единственной целью - помочь CDN-кам разрулить по сути стрим-сокет поверх TCP. Почему они не могут просто разрулить TCP и увеличить количество одновременных подключений по TCP? Потому что почитайте, в какой бараний рог закручивает трафик Cloudflare - UDP работает через раз. Плюс везде прикрутили TLS, который нифига не IPsec и не может переиспользовать уже аутентифицированный канал для открытия новых каналов с новыми ключами, хотя бы потому что TLS живёт для каждого приложения по отдельности, а не предоставляется операционкой как сервис.

:)) Посмотрел, кто разработал RFC по HTTP/2. M. Thomson, Ed., Mozilla, C. Benfield, Ed., Apple Inc.

Принциипальные там архитектурные проблемы - в данном случае, вместо постоянно открытых потоков, по каждому из которых можно несколько запросов (аналоги отдельных TCP, как в SCTP собсно и сделали), они постоянно открывают и закрывают новые потоки. Эту же херь унаследовали в QUIC. Наличие спецификации и даже её осиливания еще вовсе не означает, что она хорошая.

(Читать RFC без словаря нынче суперскилл? ОК, так я их тогда пишу без словаря...)

Спасибо, так понятнее.

>они постоянно открывают и закрывают новые потоки

Это некоторый архитектурный компромисс для обратной совместимости и на основе анализа частоты use cases. Скорее, оптимизация для масс. В целом выбор верный, но в некоторых сценариях это неэффективно. Частично было решено в HTTP/3. Значит, в вашем случае разрабатывалось что-то, где это имеет значение, например, сильно влияет на производительность. Т.е. это не архитектурная проблема, а что-то вроде "не все вписались в рынок".

>(Читать RFC без словаря нынче суперскилл? ОК, так я их тогда пишу без словаря...)

Да нет, просто сказал, что была работа, связанная с изучением RFC-шек. Просто чтобы показать, что можно пообщаться на одном примерно языке. Респект за работу :)

У HTTP/2 нету обратной совместимости - это отдельный от HTTP/1 протокол. По сути этой фичей (открытие-закрытие потоков) они и позволили сделать такую ддос атаку.

> несколько разрабов […] просто на мат переходили

Ну это проблемы с воспитанием тех разрабов. А своё-то мнение у тебя есть? Или тебе его матюки очередного быдла заменяют?

> Ну так скажи спасибо Гуглу за это.

Спасибо гугл! Без тебя бы сидели в пещерах))

> На моей памяти несколько разрабов, связанных с реализацией HTTP, просто на мат переходили, когда речь заходила о HTTP/2.

О, я помню дед матюкался, когда ему показали машину с автоматом.
Типа понавыдумаыли ***ни, вот на Волге - коробас нормальный, а этот что? даже в гараже не починишь.
А потом начал задвигать, что Настоящий Водитель умеет тормозить прерывисто и эти ваши АБС для лопухов.

> Статус наличия уязвимости в nginx не определён.

Так определяйте. Это самый популярный сервер в интернете, на минуту, а они про какой-то сраный апач пишут.

Куда спешить, потом цапцарапнут готовое решение у апача.

>HAProxy проблеме не подвержен

Ключевые слова. А что там на бэкэнде используется значения не имеет.

Да здравствуют Desync-атаки на "да пофигу что там за HTTP/1.1 сервер на бэкенде"!

https://www.suse.com/fr-fr/security/cve/CVE-2025-8671.html

ну если верить этому то nginx в различных версиях SUSE -- Not affected

>подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish

Все какие-то "решения" серверов приложений. Настоящие серверы хттп не подвержены.

>во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться

Позорище, конечно. Ну ничего - в корпоративной разработке стыд испытывать некому.

Что в очередной раз подтверждает: не надо любые сервера приложений голой ж... в интернет выставлять. И реализация HTTP/2 в них не нужна, для связи с реверс-прокси этот протокол бесполезен.

"Мы хотим избавиться от задержек и сделаем протокол с обработкой запроса сразу по приходу первого же пакета".
Что же могло пойти не так?

w3techs после новостей показал увеличение доли http/3 - что как бы намекает .

Куча приложений что рассчитывают на уязвимое поведение поломаются.

Туда-же "TCP с TLS переоткрывать дорого, ща мы в один поток кучу сообщений запихаем".

Нужно срочно экономить количество запросов, а то лишние 10 килобайт трафика жалко. И плевать, что каждый день радовой обладатель смартфона выкачивает терабайт обновлений из гугл плей.

> каждый день радовой обладатель смартфона выкачивает

ничо он не выкачивает, интернет выключен.