Sok szerver leállt a MadeYouReset támadás miatt, a te oldalad biztonságban van?
Augusztus közepén Tel-Aviv-i kutatók nyilvánosságra hoztak egy új HTTP/2 szolgáltatásmegtagadási rést (DoS), a MadeYouReset (CVE-2025-8671) nevű sérülékenységet. Ez a probléma kizárólag néhány régóta frissítetlen HTTP/2 szervert érint, amelyek nem megfelelően kezelik a szerver által kezdeményezett stream-visszaállításokat (reseteket). Fontos hangsúlyozni, hogy aki a Cloudflare DDoS elleni védelmét használja, automatikusan védett a MadeYouReset támadás ellen.
Bár a Cloudflare már májusban értesült a problémáról, a fejlesztők megállapították, hogy rendszereik nem sebezhetők. Ez részben annak is köszönhető, hogy már a 2019-es Netflix sebezhetőségi sorozat idején felkészültek az ehhez hasonló támadásokra, sőt, 2023-ban a Rapid Reset (CVE-2023-44487) miatt további védelmi intézkedéseket vezettek be. Mindkét támadástípus ugyanazt a HTTP/2 protokoll mélyén megbúvó funkciót, a stream resetet használja ki. Egy HTTP/2 kliens és szerver úgy kommunikál, hogy kérés-válasz párokat továbbít stream formájában, amelyet a RST_STREAM keret (frame) segítségével bármelyik fél visszaállíthat, vagyis az adott folyamatot idő előtt leállíthatja.
A MadeYouReset és a Rapid Reset támadások abban különböznek, hogy előbbinél a szerver által küldött visszaállításokat, utóbbinál pedig a kliens által kezdeményezetteket használják ki. Itt az történik, hogy a támadó szándékosan hibás adatokat küld, ami protokollsértésekhez vezet – ezzel rábírja a szervert, hogy visszaállítsa a stream hibákat. Ha ezt elég gyorsan és gyakran ismétli meg, a szerver erőforrásait teljesen lefoglalhatja, folyamatosan értelmetlen műveletek elindításával és eldobásával. A szerver túlterheltsége miatt így a jogosult felhasználók számára is elérhetetlenné válhat a szolgáltatás.
A védekezési lehetőségek és a protokoll fejlesztései
Az RFC 9113 leírja, hogy a HTTP/2 protokoll számos funkcióval rendelkezik, amelyek hibás implementálás esetén könnyen a DoS támadások eszközeivé válhatnak. Minden szolgáltatónak célszerű végponti monitorozást és korlátbeállításokat alkalmazni, különben kiszolgáltatottá válik ezeknek a visszaéléseknek.
Fontos hangsúlyozni, hogy a MadeYouReset csak néhány, régóta frissítetlen szerverváltozatot érint. A legtöbb elterjedt HTTP/2 implementáció, amely már a Rapid Reset elleni védelmet is beépítette, automatikusan védett a mostani támadással szemben is.
Cloudflare, a Pingora keretrendszer és frissítési tippek
A Cloudflare nyílt forráskódú Pingora keretrendszere a népszerű, Rust alapú h2 könyvtárat használja a HTTP/2 kezelésére. Az h2 könyvtár 0.4.11 előtti verziói potenciálisan ki vannak téve a MadeYouReset veszélyeinek, ezért aki Pingorát használ, frissítse a könyvtárat a cargo update paranccsal. Fontos ugyanakkor, hogy a Pingora nem maga fogadja a bejövő HTTP kapcsolatokat a Cloudflare hálózatán, így maga a szerverinfrastruktúra nem támadható ezzel a módszerrel.
A sebezhetőség feltárását Gal Bar Nahum, Anat Bremler-Barr és Yaniv Harel kutatók végezték. A Cloudflare bátorít minden biztonsági szakembert, hogy a hasonló problémákat jelentse a HackerOne Bug Bounty programban.
Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...
🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...
A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...
⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...
🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..
A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...
💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...
🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...
A 19. század csatornaépítési és vasúti láza, a dotkom-lufi 2000-ből – mind gazdaságtörténeti példák arra, hogy valódi technológiai áttörések túlfűtött beruházási hullámokat indíthatnak el, amelyek végül recesszióval végződhetnek...
Az IBM újabb mérföldkőhöz érkezett a chiptechnológia világában: bemutatta a világ első, 1 nanométernél kisebb csíkszélességű technológiáját, mellyel egy körömnyi lapkán közel 100 milliárd tranzisztor kap helyet...
💫 Az Univerzum tágulásának részletesebb vizsgálata és a titokzatos sötét energia megértése közelebb kerülhet, hála egy barcelonai kutatócsoport forradalmi megközelítésének...
Ez a jelenség jól illusztrálható azzal, hogy a Nap közel ötmilliárd év múlva lenyűgöző változáson megy keresztül: kifogy a hidrogén üzemanyagából, vörös óriássá duzzad, majd még nagyobb méretet öltve aszimptotikus óriáság állapotba lép, végül fehér törpévé zsugorodik...
Az elmúlt években egyre többen néznek szembe azzal, hogy már 50 éves koruk előtt súlyos betegségekkel, például mell-, vastagbél-, vese- vagy méhrákkal diagnosztizálják őket...
📷 A Google egyre többet tud rólunk, mostantól pedig a Gemini alkalmazáson keresztül már a személyes fotóink felhasználásával is egyedi képeket készít...
Külön említést érdemel, hogy a Nissan jelenlegi és volt alkalmazottainak személyes adatai kerültek veszélybe egy kifinomult kibertámadássorozat során...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Lively Letters – Phonics (iPhone/iPad)Ez az alkalmazás villámgyorsan az App Store fizetős oktatási programjai élére tört...
A Disney és az Adobe összefog, hogy teljesen új korszakot nyisson a szórakoztatóiparban: közösen tervezik a jövő tematikus parkjait, szállodáit és hajóútjait egy testreszabott MI-megoldás segítségével...
Érdemes megérteni, hogy a National Association of Insurance Commissioners (NAIC) nagyszabású kibertámadás áldozata lett, miután egy Oracle PeopleSoft-szervert érintő, nulladik napi (zero-day) sebezhetőséget kihasználó támadás révén a ShinyHunters nevű csoport hozzáférést szerzett a szervezet rendszereihez...
Jó példa erre, hogy Ausztrália versenyhivatala, az ACCC pert indított az Amazon helyi részlege ellen, miután a cég a Prime-előfizetések feltételeit állítólag egyoldalúan, a fogyasztók kárára módosította...
🚗 A Fordnál a minőségi problémák tartós fennállása miatt vezetői szinten beismerték: a mesterséges intelligencia önmagában nem jelentett megoldást a hibákra...
A zenehallgatás új korszakába lép a Tidal: hamarosan egy jól látható „MI” ikon jelenik meg azoknál a zeneszámoknál, amelyeket kizárólag mesterséges intelligencia hozott létre...
Ebből következően érdemes megérteni, hogy a hasnyálmirigyrák továbbra is az egyik legnehezebben kezelhető daganatos betegség, főként a KRAS-mutációk gyakori jelenléte miatt...