개요
HTTP2에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2025-8671
HTTP/2 버전 : 제품별 참고사이트 확인 [2][3][4][5][6]
CVE-2025-55163
Netty 버전 : 4.2.3 이하
Netty 버전 : 4.1.123 이하
해결된 취약점
HTTP/2 사양과 일부 HTTP/2 구현의 내부 아키텍처 간에 클라이언트가 트리거하는 서버 전송 스트림 재설정으로 인해 발생하는 서비스 거부 취약점(CVE-2025-8671)
Netty의 HTTP/2에서 발생하는 서비스 거부 취약점(CVE-2025-55163)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2025-8671
HTTP/2 버전 : 제품별 참고사이트 확인 [2][3][4][5][6]
CVE-2025-55163
Netty 버전 : 4.2.4 이상
Netty 버전 : 4.1.124 이상
참고사이트
[1] MadeYouReset
https://deepness-lab.org/publications/madeyoureset/
[2] [SECURITY] CVE-2025-48989 Apache Tomcat – DoS in HTP/2 – Made You Reset
https://lists.apache.org/thread/9ydfg0xr0tchmglcprhxgwhj0hfwxlyf
[3] MadeYouReset HTTP/2 DDoS vulnerability
https://github.com/netty/netty/security/advisories/GHSA-prj3-ccx8-p6x4
[4] Security vulnerability: CVE-2025-8671: HTTP/2 ‘MadeYouReset’ DoS attack
https://www.suse.com/support/kb/doc/?id=000021980
[5] Fastly’s Response to the MadeYouReset HTTP/2 Security Vulnerability (CVE-2025-8671)
https://www.fastlystatus.com/incident/377810
[6] HTTP/2 MadeYouReset DDoS vulnerability
https://github.com/h2o/h2o/security/advisories/GHSA-mrjm-qq9m-9mjq