The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

14.08.2025 09:09

Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений.

Суть проблемы в том, что клиент может создать очень большое число одновременно обрабатываемых потоков, независимо от лимита SETTINGS_MAX_CONCURRENT_STREAMS, сбрасывая каждый поток на начальном этапе. Подобный сброс приводит к тому, что для отправки нового запроса в установленном соединении HTTP/2 клиенту не требуется жать ответа от сервера и можно сразу направить большой непрерывный поток запросов, насколько позволяет пропускная способность канала связи.

Клиент перестаёт зависеть от задержек между отправкой запроса и получением ответа (RTT, round-trip time) и может провести атаку с минимальными накладными расходами, при том что сервер продолжает тратить ресурсы на обработку поступающих запросов. Например, сервер осуществляет выделение структур данных под новые потоки, разбор запроса, распаковку заголовка и сопоставление URL с ресурсом. При атаке на обратные прокси, атака может распространиться на бэкенды, на которые прокси успеет перенаправить запрос до его сброса.

Уязвимость напоминает ранее известную проблему Rapid Reset (CVE-2023-44487) и вызвана расхождением логики сброса потоков, определённой в спецификации протокола HTTP/2 и реализованной в конечных продуктах. В спецификации предусмотрена возможность сброса потока клиентом и сервером в любой момент, но во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться. Ключевым отличием новой атаки является то, что сброс обработки запроса осуществляется по инициативе сервера, а не через отправку клиентом кадра с флагом RST_STREAM.

Сброс по инициативе сервера происходит при поступлении некорректных запросов, но подобные запросы отбрасываются сразу без начала их полноценной обработки и без передачи бэкенду. Для того, чтобы добиться полного цикла обработки запроса атакующий вначале может отправить корректный HTTP-запрос, но следом за ним передать некорректную последовательность управляющих кадров HTTP/2. Подобная активность приведёт к тому, что сервер начнёт полноценно обрабатывать запрос, но потом из-за ошибки при обработке следом идущих кадров сбросит поток (переведёт поток с корректным запросом в состояние RST_STREAM).

Наличие проблемы подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, Zephyr RTOS. Проблема проявляется также на сайтах и серверных сервисах Mozilla. Apache httpd, Apache Traffic Server, Node.js, LiteSpeed и HAProxy проблеме не подвержены. Статус наличия уязвимости в nginx не определён.

  1. Главная ссылка к новости (https://kb.cert.org/vuls/id/76...)
  2. OpenNews: Уязвимость в предлагаемой в Qt реализации протокола HTTP/2
  3. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
  4. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
  5. OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
  6. OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63726-http2
Ключевые слова: http2
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:28, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >"Проблема проявляется также на сайтах и серверных сервисах Mozilla."

    У Mozilla всегда проблемы, она без них не может! 4% рынка как не как! Уже дропать и  закапывать надо!

     
     
  • 2.2, Аноним (2), 10:41, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Они и так уже уволили инженеров, чтобы хватило на откат CEO. Что ещё ты хочешь? Берут, что есть в опенсорсе.
     
     
  • 3.3, Голдер и Рита (?), 10:44, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Жалко их, конечно.
     
  • 3.5, L10N (ok), 10:51, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Не успеваю переводить на русский всё, что они в последнее время создают в плане функций (GUI & KB). Только в последнем релизе Firefox появилось 12, если правильно помню, новых разработчиков в сообществе. В release notes сейчас их перечисляют.

    Уязвимость как уязвимость. Разберутся.

     
     
  • 4.10, Жироватт (ok), 11:02, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    А что там переводить-то?
    - GetInclusiveDict()
    - TranslateFromNormalToInclusiveLang(string WASP_Word)
    - AddNewPrideMonthTheme()
    - RoundNewTabMoreInnovatuvely()
    - AddNewProbeInYourA55()

    в переводах не нуждаются.

     
     
  • 5.12, L10N (ok), 11:07, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Зайдите в Pontoon и в SUMO, посмотрите. Десятки проектов, от десятков до сотен строк в день, от нескольких до десятков изменений в статьях KB. Почти каждый вечер что-то обновляю/добавляю.
     
  • 2.4, L10N (ok), 10:49, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    4% рынка - в цифрах от 115 до 300 млн активных пользователей по разным оценкам. Каждому бы софту такую долю рынка. Например, доля рынка Linux на рынке ОС - 4-6%. И у Mozilla не только проблемы. Они не только софт производят, но и разрабатывают стандарты типа DNS over HTTPS, где они в соавторах RFC, языков (Rust изначально разрабатывался Mozilla) и т.п. Не принижайте :)
     
  • 2.6, Аноним (-), 10:53, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У Mozilla всегда проблемы, она без них не может! 4% рынка как не как!
    > Уже дропать и  закапывать надо!

    Дизайнеры и манагеры не умеют в код и протоколы. Вот например принять решение о том как еще кровати переставить, тьфу, то-есть контролы - это они всегда пожалуйста.

     
     
  • 3.7, L10N (ok), 10:56, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    У вас тоже дизайнеры занимаются разработкой и протоколами?
     
  • 3.8, Жироватт (ok), 10:57, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Ты забыл про форму вкладок!
     
     
  • 4.9, L10N (ok), 10:59, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    UX тоже важен и Mozilla реагирует на то, что пользователи запрашивают в Mozilla Connect, почему нет. Но под капотом происходят куда более значительные изменения, если их отслеживать.
     
     
  • 5.11, Жироватт (ok), 11:04, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Опппачки, мозилловцы нам даже собственного продавайку выделили.
    Ты только на опеннете проповедовать будешь, или оплатили пеар по спектру русскоязычных сайтов?

    Под капотом там, изменения, ага.

     
     
  • 6.13, L10N (ok), 11:08, 14/08/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, я Mozilla занимаюсь pro bono. Хотите запретить? Лидер русской локализации, приятно познакомиться :)
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру