□ 개요
o HTTP/2에서 발생하는 서비스 거부(MadeYouReset DDoS) 취약점에 대한 주의 권고 [1]
o 영향받는 버전을 사용 중인 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고
□ 설명
o HTTP/2 사양과 일부 HTTP/2 구현의 내부 아키텍처 간에 클라이언트가 트리거하는 서버 전송 스트림 재설정으로 인해 발생하는 서비스 거부 취약점(CVE-2025-8671) [1][7]
o Apache Tomcat의 HTTP/2에서 발생하는 서비스 거부 취약점(CVE-2025-48989) [2][8]
o Netty의 HTTP/2에서 발생하는 서비스 거부 취약점(CVE-2025-55163) [3][9]
□ 영향받는 제품 및 해결 방안
|
취약점 |
제품명 |
영향받는 버전 |
해결 버전 |
|
CVE-2025-8671 |
HTTP/2 |
제품별 참고사이트 확인 |
제품별 참고사이트 확인 |
|
CVE-2025-48989 |
Apache Tomcat |
11.0.0-M1 이상 ~ 11.0.9 이하 |
11.0.10 이상 |
|
10.1.0-M1 이상 ~ 10.1.43 이하 |
10.1.44 이상 |
||
|
9.0.0.M1 이상 ~ 9.0.107 이하 |
9.0.108 이상 |
||
|
CVE-2025-55163 |
Netty |
4.2.3 이하 |
4.2.4 이상 |
|
4.1.123 이하 |
4.1.124 이상 |
※ 하단의 참고사이트를 확인하여 업데이트 수행 [2][3]
※ HTTP/2 보안 업데이트가 공개된 운영체제를 운영하고 있을 경우, 참고 사이트의 내용을 참조하여 보안 조치 또는 업데이트 수행(각 OS별 보안 업데이트 상세 버전은 아래 링크 참고)
- Apache Tomcat [2]
- Netty [3]
- SUSE [4]
- Fastly [5]
- H2O [6]
□ 참고사이트
[1] https://deepness-lab.org/publications/madeyoureset/
[2] https://lists.apache.org/thread/9ydfg0xr0tchmglcprhxgwhj0hfwxlyf
[3] https://github.com/netty/netty/security/advisories/GHSA-prj3-ccx8-p6x4
[4] https://www.suse.com/support/kb/doc/?id=000021980
[5] https://www.fastlystatus.com/incident/377810
[6] https://github.com/h2o/h2o/security/advisories/GHSA-mrjm-qq9m-9mjq
[7] https://nvd.nist.gov/vuln/detail/CVE-2025-8671
[8] https://nvd.nist.gov/vuln/detail/CVE-2025-48989
[9] https://nvd.nist.gov/vuln/detail/CVE-2025-55163
□ 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118