Kritische HTTP/2-Lücke „MadeYouReset“

(CVE-2025-8671) hebelt Schutzmechanismen aus – Updates jetzt einspielen

Eine neu offengelegte Schwachstelle in zahlreichen HTTP/2-Implementierungen macht es Angreifern möglich, Webserver mit minimalem Aufwand in die Knie zu zwingen. Die Technik mit dem Namen MadeYouReset umgeht die gängigen Abwehrmaßnahmen gegen „Rapid Reset“ aus 2023 und führt zu massiver Ressourcenerschöpfung bis hin zum Absturz – betroffen sind u. a. Varnish, Apache Tomcat, Netty-basierte Dienste, gRPC-Stacks und Distributionen wie SUSE.

Worum geht es bei „MadeYouReset“?

„MadeYouReset“ (CVE-2025-8671) beschreibt eine Denial-of-Service-Schwachstelle in vielen HTTP/2-Server-Stacks. Sie entsteht aus einem Missverhältnis zwischen dem HTTP/2-Protokollzustand und der tatsächlichen Backend-Verarbeitung: Wird ein Stream per RST_STREAM zurückgesetzt, gilt er aus Protokollsicht sofort als geschlossen und zählt nicht mehr gegen die in HTTP/2 vorgesehenen Parallelitätsgrenzen (SETTINGS_MAX_CONCURRENT_STREAMS). Viele Implementierungen rechnen aber im Backend weiter – Angreifer können dadurch praktisch unbeschränkt parallele Anfragen auf einer einzigen Verbindung erzeugen und CPU oder Arbeitsspeicher des Servers erschöpfen.

So funktioniert der Angriff – kurz erklärt

1. Der Client sendet zunächst gültige HTTP/2-Anfragen auf einem Stream (wichtig für die Backend-Annahme).
2. Anschließend triggert der Client einen serverseitigen Reset des Streams (z. B. durch fehlerhafte Steuerframes oder unzulässige Sequenzen), sodass der Server RST_STREAM sendet.
3. Der Stream gilt damit sofort als geschlossen und zählt nicht mehr zur Parallelitätsgrenze – die Backend-Arbeit läuft jedoch oft weiter.
4. Dieser Ablauf wird sehr schnell wiederholt, bis Ressourcen erschöpft sind (DoS) oder Prozesse wegen OOM crashen.

Beispielhafte „Primitives“, die den Server zu RST_STREAM veranlassen, sind laut Research u. a.: WINDOW_UPDATE mit Inkrement 0 oder Überlauf > 2³¹−1, PRIORITY-Frames mit falscher Länge bzw. Selbstabhängigkeit sowie nach END_STREAM gesendete HEADERS/DATA-Frames.

Warum frühere „Rapid-Reset“-Mitigations nicht greifen

Gegen CVE-2023-44487 („Rapid Reset“) setzten viele Anbieter einfache, wirksame Quoten auf clientseitig gesendete RST_STREAM-Frames. MadeYouReset dreht das Muster um: Der Client sorgt dafür, dass der Server RST_STREAM generiert (wegen Protokollfehlern auf Stream-Ebene) – die Zählwerke für Client-Resets bleiben unangetastet. Das Resultat: die gleichen DoS-Effekte wie 2023, jedoch an den etablierten Filtern vorbei.

Wer ist betroffen?

Die CERT/CC-Übersicht sowie Vendor-Advisories zeigen eine breite Betroffenheit quer durch HTTP/2-Stacks und Produkte. Beispiele:

• Varnish Cache / Varnish Enterprise: zahlreiche Versionen betroffen; Patches für 7.6.4, 7.7.2 und 6.0 LTS 6.0.15 verfügbar. Temporäre Mitigation: HTTP/2 deaktivieren (feature -http2), ggf. ALPN anpassen.
• Apache Tomcat: eigener Eintrag CVE-2025-48989; Fix in Tomcat 11.0.10, 10.1.44 und 9.0.108.
• Netty: eigener Eintrag CVE-2025-55163; Fix in 4.2.4.Final und 4.1.124.Final (auch relevant für gRPC/Frameworks, die Netty nutzen).
• H2O (Fastly-Fork/Upstream): Fix upstream; Fastly berichtet produktiven Rollout bereits am 2. Juni 2025.
• SUSE: bestätigt Auswirkungen u. a. auf netty, jetty, tomcat; Updates in Arbeit bzw. veröffentlicht.

Patch-Status der großen Projekte (Auswahl)

• Varnish: Fix in 7.6.4, 7.7.2, LTS 6.0.15 (veröffentlicht am 13.08.2025); Enterprise 6.0.14r5 (19.06.2025). Temporäre Abschaltung von HTTP/2 möglich.
• Tomcat: Fixe in 11.0.10 (Veröffentlichung 06.08.2025), 10.1.44 (07.08.2025), 9.0.108; Problem führte typischerweise zu OutOfMemoryError.
• Netty: Fixe in 4.2.4.Final und 4.1.124.Final (13.08.2025); Advisory beschreibt die sechs maßgeblichen Primitives und empfohlene Quoten.
• H2O: Advisory mit Fix-Commit veröffentlicht; CERT listet Fastly als gefixt seit 02.06.2025.
• SUSE: KB bekräftigt: Updates für netty/jetty/tomcat; bitte Produkthinweise verfolgen.

Sofortmaßnahmen für Betreiber

• Patchen: Aktualisieren Sie betroffene Komponenten (Reverse-Proxy, CDN-Edge, App-Server, Service-Mesh, gRPC-Gateways) auf die genannten Versionen bzw. Distribution-Updates.
• Quoten auf Server-Resets: Begrenzen Sie serverseitig initiierte RST_STREAM pro Verbindung. Normale Clients erzeugen diese nur selten – enge Limits sind unkritisch.
• Control-Frame-Limits: Ratenbegrenzung für WINDOW_UPDATE/PRIORITY und strikte Behandlung von Protokollflussfehlern (bei Verstoß Verbindung schließen).
• Backend-Kappung: Separates Limit für tatsächlich im Backend laufende HTTP-Requests einführen, damit Arbeit auch bei „geschlossenen“ Streams begrenzt bleibt.
• Notfall: Wenn Patch/Config kurzfristig nicht möglich ist, HTTP/2 temporär deaktivieren (mit ALPN auf TLS-Terminatoren konsistent). Beachten Sie Performance-/Kompatibilitätsfolgen.
• DDoS-Schutz: Betreiber hinter spezialisierten DDoS-Mitigations sind nach Anbieterangaben bereits geschützt; prüfen Sie Status-Meldungen Ihres Providers.

Erkennung & Monitoring

• Dashboards/Alerts für auffällige Raten serverseitiger RST_STREAM und HTTP/2-Protokollfehler (z. B. WINDOW_UPDATE-Anomalien, PRIORITY-Fehler).
• Beobachtung von Abweichungen zwischen aktiven HTTP/2-Streams und der Anzahl laufender Backend-Requests (Zeichen für das Zähl-Mismatch).
• Ressourcenmetriken (Heap/Native-RAM, GC-Pauses, Worker-Queue-Tiefe) engmaschig prüfen; Lasttests gegen „schwere“ Endpunkte validieren.

Zeitleiste

• 13.08.2025: Öffentliche Offenlegung von CVE-2025-8671 inkl. Research-Serie und CERT/CC-Vulnerability Note. Erste Vendor-Patches erscheinen (z. B. Netty, Varnish, Tomcat-Advisories aktualisiert).
• 02.06.2025: (Rückblick) Fastly meldet bereits die vollständige Produktionseinführung eines Fixes auf der eigenen Infrastruktur.
• 2023: Rapid-Reset-Kampagnen mit Rekord-Layer-7-RPS führten zu initialen Mitigations (Client-RST-Quoten) – MadeYouReset umgeht genau diese.

FAQ

Ist das eine Protokoll- oder Implementierungs-Schwachstelle?

Die Ursache liegt in Implementierungen (und typischen Architekturgrenzen zwischen Protokoll-Frontend und Backend). Das Protokoll zählt zurückgesetzte Streams sofort aus der Parallelitätsgrenze heraus; viele Stacks stoppen die Backend-Arbeit jedoch nicht konsequent. Hilft ein niedrigeres SETTINGS_MAX_CONCURRENT_STREAMS?

Nur begrenzt: Da zurückgesetzte Streams nicht mehr gezählt werden, wird die Zählgrenze umgangen. Ohne zusätzliche Backend-Limits oder Server-RST-Quoten bleibt das System angreifbar. Kann ich HTTP/2 gefahrlos deaktivieren?

Als Notmaßnahme ja – beachten Sie aber mögliche Performance-/Kompatibilitätsverluste (z. B. Multiplexing, Header-Kompression). Besser ist ein zügiges Patchen und gezielte Mitigations.

Fazit

MadeYouReset ist die konsequente Weiterentwicklung der Rapid-Reset-Idee – diesmal über serverseitig ausgelöste Resets. Wer HTTP/2 im Einsatz hat, sollte sofort patchen, Server-RST-Quoten aktivieren und Backend-Parallelität unabhängig vom Protokollzustand begrenzen. Die gute Nachricht: Viele Anbieter haben bereits Updates oder bestätigte Schutzmechanismen bereitgestellt.

Keine Produkte gefunden.

Quellen & weiterführende Links

• Cybernews: Critical internet flaw discovered, prompting updates
• CERT/CC Vulnerability Note VU#767506: HTTP/2 implementations vulnerable to „MadeYouReset“
• NVD: CVE-2025-8671
• Research: The MadeYouReset HTTP/2 Vulnerability – What Is It? · Technical Details
• Varnish Security Advisory VSV00017 (CVE-2025-8671)
• Apache Tomcat 11 Security (CVE-2025-48989) · Tomcat 10 · Tomcat 9
• Netty 4.2.4.Final Release (Fix für CVE-2025-55163) · Netty Advisory GHSA-prj3-ccx8-p6x4
• H2O Advisory: HTTP/2 MadeYouReset DoS
• SUSE KB: CVE-2025-8671 „MadeYouReset“
• Cloudflare Blog: MadeYouReset – geschützt durch bestehende Mitigations
• Cloudflare (2023): Technische Analyse „Rapid Reset“ · Google Cloud (2023): How it works – Rapid Reset
• The Hacker News: New HTTP/2 „MadeYouReset“ Vulnerability
• CVE Record (CIRCL): CVE-2025-8671 (mit Referenzen)

Über den Autor

Sebastian Schiebort

Administrator

Alle Beiträge anzeigen

Letzte Aktualisierung am 5.02.2026 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.