独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月26日、複数のHTTP/2サーバ実装におけるストリームリセット処理の不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムについて、2025年8月26日時点での各ベンダのステータスは下記の通り。
NTT-CERT:該当製品無し(調査中)
オムロン株式会社:脆弱性情報提供済み
オリンパス株式会社:脆弱性情報提供済み
セイコーエプソン株式会社:脆弱性情報提供済み
京セラ株式会社:該当製品無し
図研エルミック株式会社:該当製品無し
富士通株式会社:脆弱性情報提供済み
日本電気株式会社:該当製品無し(調査中)
日立:脆弱性情報提供済み
株式会社コンテック:脆弱性情報提供済み
楽天モバイル株式会社:該当製品無し
JVNによると、複数のHTTP/2サーバ実装に対し、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性(CVE-2025-8671)が報告されており、一部のベンダーでは自身の製品への本脆弱性の影響を示すためにCVE-2025-8671とは異なる固有のCVE IDを割り当てている。
「MadeYouReset」は、ストリームのリセット処理に関するHTTP/2の仕様上の動作と実際のサーバ内の処理との間の不一致を悪用することで、リソース枯渇状態を引き起こし、想定される影響としてはDDoS攻撃に悪用される可能性がある。
JVNでは、HTTP/2を使用している開発者に対し、JVNが参考情報として示す各種資料などを参考に、本件への対応を検討するよう呼びかけている。
NTT-CERT:該当製品無し(調査中)
オムロン株式会社:脆弱性情報提供済み
オリンパス株式会社:脆弱性情報提供済み
セイコーエプソン株式会社:脆弱性情報提供済み
京セラ株式会社:該当製品無し
図研エルミック株式会社:該当製品無し
富士通株式会社:脆弱性情報提供済み
日本電気株式会社:該当製品無し(調査中)
日立:脆弱性情報提供済み
株式会社コンテック:脆弱性情報提供済み
楽天モバイル株式会社:該当製品無し
JVNによると、複数のHTTP/2サーバ実装に対し、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性(CVE-2025-8671)が報告されており、一部のベンダーでは自身の製品への本脆弱性の影響を示すためにCVE-2025-8671とは異なる固有のCVE IDを割り当てている。
「MadeYouReset」は、ストリームのリセット処理に関するHTTP/2の仕様上の動作と実際のサーバ内の処理との間の不一致を悪用することで、リソース枯渇状態を引き起こし、想定される影響としてはDDoS攻撃に悪用される可能性がある。
JVNでは、HTTP/2を使用している開発者に対し、JVNが参考情報として示す各種資料などを参考に、本件への対応を検討するよう呼びかけている。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)