2023’ün “hızlı sıfırlama” kırılganlığından sonra ortaya konan hafifletmeleri atlatan yeni bir HTTP/2 Hizmet Reddi (DOS) güvenlik açığı, kusurları keşfeden araştırmacıların sorumlu açıklaması sayesinde büyük ölçüde etkilenen satıcılar ve projeler tarafından ele alınmaktadır.
Yeni HTTP/2 DOS güvenlik açığı olan CVE-2025-8671, 13 Ağustos’ta Tel Aviv Üniversitesi araştırmacıları tarafından kamuya açıklandı, ancak araştırmacılar görünüşe göre Mayıs ayından beri kusuru azaltmak için satıcılarla çalışıyor.
Bir CloudFlare blog yayınına göre, güvenlik açığı yalnızca “bir müşterinin hatalı formlu çerçeveler gönderebileceği sayıdaki kısıtlamaları yeterince zorlamayan sınırlı sayıda açılmamış HTTP/2 sunucu uygulamasında” mevcuttur.
Yeni HTTP/2 DOS güvenlik açığı ‘MadeYeoureset’ olarak adlandırıldı
Diğer Tel Aviv Üniversitesi araştırmacıları Anat Bremler-Barr ve Yaniv Harel ile birlikte kusuru keşfeden Gal Bar Nahum, bir blog yazısında, bir saldırganın “bir saldırganın HTTP/2’nin yerleşik eşzamanlı sınırını atlayarak, hizmet koşulunun inkarına neden olarak etkin bir şekilde sınırsız eşzamanlı çalışma yaratmasını sağladığını” söyledi.
Nahum, “hızlı sıfırlama” nın arkasındaki kusura dayanıyor, “ortak hafifletmeyi geçen düzgün bir bükülme ile”.
2023’ün hızlı sıfırlaması, akışları açarak ve RST_Stream’i kullanarak hemen iptal ederek HTTP/2’nin istek iptal özelliğinden yararlandı, böylece bir istemcinin 100’üne sahip olabileceği aktif akış sayısını sınırlandıran Max_Concurrent_Streams sınırına sayılmadılar.
Nahum, “Etkilenen tüm uygulamalar tarafından kullanılan hızlı sıfırlama azaltma çok basitti – bir müşterinin iptal edebileceği akış sayısını sınırlandırdı” dedi.
Araştırmacılar, “MadeYeoureset” olarak adlandırdıkları bir istismar olan istemci yerine sunucunun isteği iptal etmesini sağlayarak bu sınırın etrafında bir yol buldular.
Nahum, “Bazı geçersiz kontrol çerçeveleri hazırlayarak veya doğru anda protokol sıralamasını ihlal ederek, sunucunun zaten geçerli bir istek taşıyan bir akış için RST_Stream göndermesini sağlayabiliriz” diye yazdı.
Araştırmacılar, ayrı bir teknik yayınla kapsanan Window_update, Öncelik, Başlıklar ve Veri Çerçeveleri’ni kullanan altı ilkel buldular.
Satıcılar MadeYoureset HTTP/2 Güvenlik Açığı’na yanıt veriyor
Cloudflare ve Akamai, HTTP/2 uygulamalarının uygunsuz bir kaynak kapatma veya serbest bırakma güvenlik açığı (CWE-404) olarak sınıflandırılan CVE-2025-8671’e karşı savunmasız olmadığını söyledi.
Carnegie Mellon sertifikası koordinasyon merkezi, bazıları farklı CVES, CWES ve şiddet derecelendirmeleri olan kusurdan etkilenen bir düzine satıcı ve proje listeledi. Etkilenen satıcıların ve projelerin çoğu, aralarında Apache Tomcat, F5, Fastly, H2O, Netty ve IBM WebSphere Application Server Liberty’yi düzeltmeler veya hafifletmeler yayınladıkları görülmektedir.
MadeYoureset Flaw’ın haberleri, Portswigger’ın HTTP/1.1’deki büyük güvenlik kusurlarını detaylandıran araştırmalar yayınladığı gibi geliyor.