Исследователи представили новую технику атаки на реализации протокола HTTP/2 — MadeYouReset. Уязвимость позволяет злоумышленнику легко обходить ограничения на количество одновременных подключений и инициировать мощные атаки на отказ в обслуживании (DoS).

Атакующий отправляет большое количество корректных запросов, но сразу после этого с помощью специальной последовательности управляющих кадров заставляет сервер самостоятельно сбросить эти потоки. Это ключевое отличие от известной уязвимости Rapid Reset (CVE-2023-44487), где сброс инициировал клиент. Здесь же сервер, уже начав обработку запроса (что потребляет CPU и память), вынужден его аварийно завершать. Это позволяет злоумышленнику генерировать лавину запросов без ожидания ответов, максимально нагружая сервер и потенциально выводя его из строя.

Проблема затрагивает множество популярных реализаций, включая:

• Веб-серверы и фреймворки: Apache Tomcat, Eclipse Jetty, Netty, Lighttpd, h2o.
• Прокси и кэширующее ПО: Fastly, Varnish, Pingora.
• Другое: Сервисы Mozilla, BIND (через DNS-over-HTTPS), Zephyr RTOS.

Проверка показала, что такие проекты, как Apache httpd, Apache Traffic Server, Node.js, LiteSpeed, Hyper и HAProxy не подвержены данной уязвимости. Статус nginx пока уточняется.  Рекомендация проста: следить за выходом обновлений.