公開日:2025/08/26 最終更新日:2025/08/26

JVNVU#92928084
複数のHTTP/2サーバー実装におけるストリームリセット処理の不備(CVE-2025-8671)

概要

複数のHTTP/2サーバー実装に対して、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性(CVE-2025-8671)が報告されています。一部のベンダーは自身の製品への本脆弱性の影響を示すためにCVE-2025-8671とは異なる固有のCVE IDを割り当てています。
「MadeYouReset」は、ストリームのリセット処理に関するHTTP/2の仕様上の動作と実際のサーバー内の処理との間の不一致を悪用することで、リソース枯渇状態を引き起こします。

影響を受けるシステム

[ベンダ情報]および[参考情報]をご確認ください。

詳細情報

HTTP/2では、HTTPリクエストとそれに対するHTTPレスポンスをひとつのストリームとして、クライアントとサーバーの間に確立されるTCP接続の中で複数のストリームが処理されます。HTTPリクエストやHTTPレスポンスの処理で問題が起こった際には、クライアントからもサーバーからもストリームをリセット(終了)できる仕組みになっています。
複数のHTTP/2サーバー実装において、ストリームをリセットした後も内部では当該HTTPリクエストの処理が継続され、HTTPレスポンスを作成してから廃棄する、という動作になっていることが報告されました。この動作では、プロトコル上カウントされるストリームの数と、サーバー内部で実際に処理中のHTTPリクエストの数に不一致が生じます。
クライアントから送られてくる不正なデータに対してサーバー側からストリームをリセットする動作が繰り返されることで、サーバーがリソース枯渇状態に至る可能性があります。

HTTP/2サーバー実装に対する攻撃手法としては、すでにCVE-2023-44487(Rapid Reset)が知られています。Rapid Resetではクライアント側からストリームをリセットすることで攻撃が行われますが、本脆弱性(MadeYouReset)では、クライアント側から意図的に不正なデータを送出しサーバー側からストリームをリセットさせることで攻撃が行われます。

想定される影響

DDoS攻撃に悪用される可能性があります。

対策方法

利用者向け
ベンダが提供している情報をご確認ください。

HTTP/2を使用している開発者向け
[参考情報]に示す各種資料などを参考に、本件への対応をご検討ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
NTT-CERT 該当製品無し(調査中) 2025/08/26
オムロン株式会社 脆弱性情報提供済み 2025/08/26
オリンパス株式会社 脆弱性情報提供済み 2025/08/26
セイコーエプソン株式会社 脆弱性情報提供済み 2025/08/26
京セラ株式会社 該当製品無し 2025/08/26
図研エルミック株式会社 該当製品無し 2025/08/26
富士通株式会社 脆弱性情報提供済み 2025/08/26
日本電気株式会社 該当製品無し(調査中) 2025/08/26
日立 脆弱性情報提供済み 2025/08/26
株式会社コンテック 脆弱性情報提供済み 2025/08/26
楽天モバイル株式会社 該当製品無し 2025/08/26
ベンダ リンク
The Apache Software Foundation CVE-2025-48989 Apache Tomcat - DoS in HTTP/2 - Made You Reset

参考情報

  1. CERT/CC Vulnerability Note VU#767506
    HTTP/2 is vulnerable to "MadeYouReset" DoS attack through HTTP/2 control frames
  2. DEEPNESS Lab
    MadeYouReset
  3. Imperva
    MadeYouReset: Turning HTTP/2 Server Against Itself
  4. Internet Engineering Task Force (IETF)
    RFC9113: HTTP/2

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia