
Birden fazla HTTP/2 uygulaması, güçlü hizmet reddi (DOS) saldırıları yapmak için araştırılabilecek MadeYoureset adlı yeni bir saldırı tekniğine duyarlı bulunmuştur.
Araştırmacılar Gal Bar Nahum, Anat Bremler-Barr ve Yaniv Harel dedi.
“MadeYoureset ile, bir saldırgan binlerce talep gönderebilir, meşru kullanıcılar için bir hizmet reddi durumu oluşturabilir ve bazı satıcı uygulamalarında bellek dışı kazalara dönüşebilir.”
Güvenlik açığı genel CVE tanımlayıcısı CVE-2025-8671 atandı, ancak sorun Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500) ve netty (CVE-2025-55163) dahil olmak üzere çeşitli ürünü etkiliyor.
MadeYoureset, büyük ölçekli DOS saldırılarını sahneye çıkarmak için potansiyel olarak silahlandırılabilen hızlı sıfırlama (CVE-2023-44487) ve HTTP/2 devam seli sonrasında HTTP/2’deki en son kusurdur.

Tıpkı diğer iki saldırının, saldırıyı çekmek için HTTP/2 protokolünde sırasıyla RST_stream çerçevesinden ve devam çerçevelerini nasıl kullandıkları gibi, MadeYoureset hızlı sıfırlama ve hafifletme üzerine bir müşterinin rst_stream kullanılarak iptal edebileceği akış sayısını sınırlayan hafifletme.
Özellikle, RST_Stream çerçevesinin hem istemci tarafından başlatılan iptal için hem de akış hataları sinyali için kullanıldığı gerçeğinden yararlanır. Bu, protokol ihlallerini beklenmedik şekillerde tetikleyen özenle hazırlanmış çerçeveler göndererek elde edilir ve sunucunun bir RST_Stream vererek akışı sıfırlamasını ister.
Bar Nahum, “MadeYoureset’in çalışması için akış, sunucunun üzerinde çalışmaya başladığı geçerli bir istekle başlamalı, ardından arka uç yanıtı hesaplamaya devam ederken sunucu RST_STREAM yayması için bir akış hatasını tetiklemelidir.”
“Bazı geçersiz kontrol çerçeveleri hazırlayarak veya doğru anda protokol sıralamasını ihlal ederek, zaten geçerli bir istek taşıyan bir akış için sunucunun rst_stream göndermesini sağlayabiliriz.”
Sunucunun RST_STREAM çerçevelerini göndermesini sağlayan altı ilkel –
- 0 artışla pencere_update çerçevesi
- Uzunluğu 5 olmayan öncelik çerçevesi (bunun için tek geçerli uzunluk)
- Bir akışı kendine bağımlı hale getiren öncelik çerçevesi
- Pencereyi 2^31 – 1’i aşan bir artışla pencere_update çerçevesi (izin verilen en büyük pencere boyutudur)
- İstemci akışı kapattıktan sonra gönderilen başlıklar çerçeve (End_stream bayrağı üzerinden)
- Müşteri akışı kapattıktan sonra gönderilen veri çerçevesi (End_stream bayrağı üzerinden)
Bu saldırı dikkate değer değildir, çünkü bir saldırganın bir RST_Stream çerçevesi gönderme ihtiyacını ortadan kaldırır, böylece hızlı sıfırlama azaltmalarını tamamen atlar ve aynı zamanda ikincisi ile aynı etkiye ulaşır.
Bir danışmanlıkta, CERT Koordinasyon Merkezi (CERT/CC), MadeYoureset’in HTTP/2 spesifikasyonları ile birçok gerçek dünya web sunucusunun dahili mimarileri arasındaki akış sıfırlamasının neden olduğu bir uyumsuzluktan yararlandığını ve kaynak tükenmesine neden olduğunu söyledi-bir saldırganın bir DOS saldırısına neden olmak için sömürebileceği bir şey.

Imperva, “Sunucu tetiklenen hızlı sıfırlama güvenlik açıklarının keşfi, modern protokol kötüye kullanımının gelişen karmaşıklığını vurgulamaktadır.” Dedi. “HTTP/2, web altyapısının bir temeli olarak kaldığından, MadeYoureset gibi ince, spesifik bir saldırılara karşı korumak her zamankinden daha kritik.”
HTTP/1.1 ölmeli
MadeYoureset’in açıklanması, uygulama güvenlik firması Portswigger olarak, 0.Cl adlı CL.0’ın bir çeşidi de dahil olmak üzere, milyonlarca web sitesini düşmanca devralmaya maruz bırakarak yeni HTTP/1.1 Desync saldırıları (diğer adıyla HTTP istek kaçakçılığı) olarak gelir. Akamai (CVE-2025-32094) ve Cloudflare (CVE-2025-4366) sorunları ele aldı.
HTTP isteği kaçakçılığı, RFC uyumlu olmayan HTTP isteklerini ön uç ve arka uç sunucuları tarafından ayrıştırma konusundaki tutarsızlığı kötüye kullanan uygulama katmanı protokolünü etkileyen bir güvenlik istismarıdır.
Portswigger’dan James Kettle, “HTTP/1.1’in ölümcül bir kusuru var: saldırganlar bir isteğin nerede bittiği konusunda aşırı belirsizlik yaratabilir ve bir sonraki istek başlıyor.” Dedi. “HTTP/2+ bu belirsizliği ortadan kaldırarak desync saldırılarını neredeyse imkansız hale getirir. Ancak, sadece Edge sunucunuzdaki HTTP/2’yi etkinleştirmek yetersizdir – ters proxy ve orijin sunucunuz arasındaki yukarı akış bağlantı için kullanılmalıdır.”