独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月26日、複数のHTTP/2サーバ実装におけるストリームリセット処理の不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムについて、2025年8月26日時点での各ベンダのステータスは下記の通り。
NTT-CERT:該当製品無し(調査中)
オムロン株式会社:脆弱性情報提供済み
オリンパス株式会社:脆弱性情報提供済み
セイコーエプソン株式会社:脆弱性情報提供済み
京セラ株式会社:該当製品無し
図研エルミック株式会社:該当製品無し
富士通株式会社:脆弱性情報提供済み
日本電気株式会社:該当製品無し(調査中)
日立:脆弱性情報提供済み
株式会社コンテック:脆弱性情報提供済み
楽天モバイル株式会社:該当製品無し
JVNによると、複数のHTTP/2サーバ実装に対し、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性(CVE-2025-8671)が報告されており、一部のベンダーでは自身の製品への本脆弱性の影響を示すためにCVE-2025-8671とは異なる固有のCVE IDを割り当てている。
「MadeYouReset」は、ストリームのリセット処理に関するHTTP/2の仕様上の動作と実際のサーバ内の処理との間の不一致を悪用することで、リソース枯渇状態を引き起こし、想定される影響としてはDDoS攻撃に悪用される可能性がある。
JVNでは、HTTP/2を使用している開発者に対し、JVNが参考情報として示す各種資料などを参考に、本件への対応を検討するよう呼びかけている。
