Sok szerver leállt a MadeYouReset támadás miatt, a te oldalad biztonságban van?

Augusztus közepén Tel-Aviv-i kutatók nyilvánosságra hoztak egy új HTTP/2 szolgáltatásmegtagadási rést (DoS), a MadeYouReset (CVE-2025-8671) nevű sérülékenységet. Ez a probléma kizárólag néhány régóta frissítetlen HTTP/2 szervert érint, amelyek nem megfelelően kezelik a szerver által kezdeményezett stream-visszaállításokat (reseteket). Fontos hangsúlyozni, hogy aki a Cloudflare DDoS elleni védelmét használja, automatikusan védett a MadeYouReset támadás ellen. Bár a Cloudflare már májusban értesült a problémáról, a fejlesztők megállapították, hogy rendszereik nem sebezhetők. Ez részben annak is köszönhető, hogy már a 2019-es Netflix sebezhetőségi sorozat idején felkészültek az ehhez hasonló támadásokra, sőt, 2023-ban a Rapid Reset (CVE-2023-44487) miatt további védelmi intézkedéseket vezettek be. Mindkét támadástípus ugyanazt a HTTP/2 protokoll mélyén megbúvó funkciót, a stream resetet használja ki. Egy HTTP/2 kliens és szerver úgy kommunikál, hogy kérés-válasz párokat továbbít stream formájában, amelyet a RST_STREAM keret (frame) segítségével bármelyik fél visszaállíthat, vagyis az adott folyamatot idő előtt leállíthatja. A MadeYouReset és a Rapid Reset támadások abban különböznek, hogy előbbinél a szerver által küldött visszaállításokat, utóbbinál pedig a kliens által kezdeményezetteket használják ki. Itt az történik, hogy a támadó szándékosan hibás adatokat küld, ami protokollsértésekhez vezet – ezzel rábírja a szervert, hogy visszaállítsa a stream hibákat. Ha ezt elég gyorsan és gyakran ismétli meg, a szerver erőforrásait teljesen lefoglalhatja, folyamatosan értelmetlen műveletek elindításával és eldobásával. A szerver túlterheltsége miatt így a jogosult felhasználók számára is elérhetetlenné válhat a szolgáltatás.