Оглавление

13 августа исследователи безопасности из Тель-Авивского университета раскрыли новую DoS-уязвимость в HTTP/2 под названием MadeYouReset (CVE-2025-8671). Эта уязвимость затрагивает ограниченное число реализаций HTTP/2-серверов, недостаточно строго ограничивающих обработку некорректных кадров. Пользователи Cloudflare для HTTP DDoS-защиты уже защищены от новой угрозы, сообщает Cloudflare Blog.

Механизм уязвимости

MadeYouReset и ранее обнаруженная Rapid Reset (CVE-2023-44487) эксплуатируют фундаментальную особенность HTTP/2: механизм сброса потоков. Злоумышленники заставляют серверы многократно сбрасывать потоки через специально сформированные кадры, вызывая исчерпание ресурсов. Ключевое отличие от Rapid Reset — атакующие не инициируют сброс напрямую, а провоцируют его на серверной стороне.

Превентивная защита Cloudflare

Благодаря мерам, внедрённым в 2023 году для нейтрализации Rapid Reset, инфраструктура Cloudflare оказалась невосприимчива к MadeYouReset. Как отметили инженеры компании, уязвимость затрагивает лишь небольшую часть реализаций HTTP/2 — большинство крупных провайдеров уже защищены.

Риски для пользователей Pingora

Открытый фреймворк Pingora использует Rust-библиотеку h2, версии которой до 0.4.11 уязвимы к MadeYouReset. Разработчикам рекомендуется обновить зависимость командой:

cargo update

Важно: Pingora не обрабатывает входящие соединения Cloudflare, поэтому инфраструктура провайдера не подвержена эксплуатации уязвимости через этот компонент.

История с MadeYouReset демонстрирует важность упреждающих мер в инфраструктурной безопасности. Cloudflare, инвестировавший в защиту от Rapid Reset, случайно создал щит и против новой угрозы — редкий пример эффекта «двух зайцев» в кибербезопасности. Ирония в том, что уязвимость остаётся актуальной для нишевых реализаций, особенно в регионах с ограниченными ресурсами для оперативного обновления. Главный урок: современные DDoS-атаки всё чаще эксплуатируют легитимные функции протоколов, превращая их эффективность в уязвимость.