【安全通告】HTTP/2 MadeYouReset 远程拒绝服务漏洞风险通告（CVE-2025-8671）

腾讯云安全中心监测到，HTTP/2 协议被披露其存在 MadeYouReset 远程拒绝服务漏洞，漏洞编号CVE-2025-8671。可导致远程攻击者执行拒绝服务攻击等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

HTTP/2 是一种网络协议，用于在客户端和服务器之间传输超文本传输协议（HTTP）消息。它是 HTTP/1.1 的后续版本，主要提供更高效的数据传输和更好的性能。 

据描述，在 HTTP/2 协议中存在远程拒绝服务漏洞（被命名为 MadeYouReset），该漏洞是由于 HTTP/2 协议规范与服务器实现之间的不匹配导致的，当攻击者发送恶意 RST_STREAM 控制帧重置数据流时，协议层会立即释放流资源并停止计数，但服务器后台仍继续处理这些 "已终止" 的请求，这种状态同步失效导致单个连接即可突破 SETTINGS_MAX_CONCURRENT_STREAMS 限制，从而导致服务器资源被大量异步残留任务占用并耗尽，最终引发服务瘫痪等。 

注：该漏洞与历史漏洞 CVE-2023-44487 类似，但相较 CVE-2023-44487 漏洞更隐蔽。 

目前该漏洞的漏洞细节、POC已公开。

远程攻击者利用该漏洞可执行拒绝服务攻击等危害。

HTTP/2为通用协议，漏洞广泛影响使用到HTTP/2协议的组件，包括不限于以下组件：

Apache Tomcat 组件（CVE-2025-48989）：

11.0.0-M1 <= Apache Tomcat <= 11.0.9

10.1.0-M1 <= Apache Tomcat <= 10.1.43

9.0.0.M1 <= Apache Tomcat <= 9.0.107

较旧的 EOL 版本

Netty 组件（CVE-2025-55163）：

Netty <= 4.2.3.Final

Netty <= 4.1.123.Final

Jetty 组件（CVE-2025-5115）：

9.3.0 <= org.eclipse.jetty.http2:http2-common (Maven) <= 9.4.57

10.0.0 <= org.eclipse.jetty.http2:http2-common (Maven) <= 10.0.25

11.0.0 <= org.eclipse.jetty.http2:http2-common (Maven) <= 11.0.25

12.0.0 <= org.eclipse.jetty.http2:jetty-http2-common (Maven) <= 12.0.24

12.1.0.alpha0 <= org.eclipse.jetty.http2:jetty-http2-common (Maven) <= 12.1.0.beta2

H2O 组件：

commit <= db98b59

Varnish Cache 组件：

5.x <= Varnish Cache <= 7.6.3

7.7.0 <= Varnish Cache <= 7.7.1

Varnish Cache 6.0 LTS <= 6.0.14

Varnish Enterprise 6.0.x <= 6.0.14r4

请评估业务是否受 HTTP/2 协议影响后，酌情升级 Apache Tomcat、Netty、Jetty、H2O、Varnish Cache 等使用 HTTP/2 协议的组件至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外