HTTP/2 научился убивать серверы одним кадром. Microsoft объяснила феномен MadeYouReset

leer en español

HTTP/2 MadeYouReset Rapid Reset Azure Microsoft
HTTP/2 научился убивать серверы одним кадром. Microsoft объяснила феномен MadeYouReset
HTTP/2 MadeYouReset Rapid Reset Azure Microsoft

Microsoft починила уязвимость 2025 года ещё в 2023-м...просто потому, что могла.

image

Новая уязвимость протокола HTTP/2 под названием MadeYouReset ( CVE-2025-8671 ) была раскрыта 13 августа 2025 года. Она основана на том, что атакующий может отправлять специально сформированные кадры протокола, вынуждая сервер многократно сбрасывать потоки в рамках одного соединения. Такая нагрузка способна привести к значительному потреблению ресурсов и в худших случаях вызвать отказ в обслуживании (DoS) . По сути, новый метод напоминает атаку Rapid Reset ( CVE-2023-44487 ), которая также использовала возможность массовых сбросов потоков, истощая ресурсы системы.

Microsoft заявила, что сервис Azure Front Door уже защищён от MadeYouReset. Инженеры компании ещё в 2023 году, когда пришлось противостоять Rapid Reset, разработали расширенные механизмы фильтрации подобных атак. В отличие от частичных ограничений, затрагивавших только сбросы, инициированные клиентом, была реализована более строгая модель защиты. Она учитывает любые варианты отмены потоков, вне зависимости от причины, и таким образом перекрывает разные вариации эксплойтов на основе механизма reset.

Для клиентов Azure это означает, что предпринимать дополнительных действий не требуется. Защитные меры действуют автоматически, а работа сервисов остаётся устойчивой даже при попытках задействовать новый тип атак на HTTP/2. Компания подчёркивает, что принятые меры обеспечивают стабильность инфраструктуры и сохраняют высокий уровень безопасности перед лицом эволюционирующих угроз протоколов.