CVE-2025-8671

Nome do Software Vulnerável e Versões Afetadas AMPHP (versões afetadas não especificadas) Apache Tomcat (versões afetadas não especificadas) Eclipse Foundation (versões afetadas não especificadas) F5 (versões afetadas não especificadas) Fastly (versões afetadas não especificadas) gRPC (versões afetadas não especificadas) Mozilla (versões afetadas não especificadas) Netty (versões afetadas não especificadas) Suse Linux (versões afetadas não especificadas) Varnish Cache (versões afetadas não especificadas) Wind River (versões afetadas não especificadas) Zephyr Project (versões afetadas não especificadas)

Description Uma discrepância entre as especificações do HTTP/2 e as arquiteturas internas de algumas implementações leva a uma contabilização incorreta de fluxos. Ao abrir fluxos e disparar rapidamente o reset do servidor usando frames malformados ou erros de controle de fluxo, um invasor remoto pode causar o consumo excessivo de recursos do servidor. Isso ocorre porque os fluxos resetados pelo servidor são considerados fechados no nível do protocolo, embora o processamento do backend continue, permitindo que um cliente force o servidor a lidar com um número ilimitado de fluxos simultâneos em uma única conexão. Este problema, apelidado de MadeYouReset, pode ser usado para lançar ataques de negação de serviço (DoS) massivos e ignora as mitigações do Rapid Reset ao enganar o servidor para resetar seus próprios contadores de fluxo. O tráfego de ataque frequentemente se mistura ao tráfego legítimo, dificultando a detecção.

Recommendations Atualize o Apache Tomcat para a versão corrigida mais recente. Atualize o F5 para a versão corrigida mais recente. Atualize o Fastly para a versão corrigida mais recente. Atualize o Varnish Cache para a versão corrigida mais recente. Implemente limitação de taxa (rate-limiting) e detecção de anomalias para identificar e bloquear padrões de tráfego HTTP/2 maliciosos. No momento, não há informações sobre uma versão mais recente que contenha a correção para AMPHP, Eclipse Foundation, gRPC, Mozilla, Netty, Suse Linux, Wind River e Zephyr Project.