[인터넷보호나라 KrCERT 보안공지] HTTP2 보안 주의 권고

□ 개요
 o HTTP/2에서 발생하는 서비스 거부(MadeYouReset DDoS) 취약점에 대한 주의 권고 [1]

 o 영향받는 버전을 사용 중인 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

□ 설명
 o HTTP/2 사양과 일부 HTTP/2 구현의 내부 아키텍처 간에 클라이언트가 트리거하는 서버 전송 스트림 재설정으로 인해 발생하는 서비스 거부 취약점(CVE-2025-8671) [1][7]

 o Apache Tomcat의 HTTP/2에서 발생하는 서비스 거부 취약점(CVE-2025-48989) [2][8]

 o Netty의 HTTP/2에서 발생하는 서비스 거부 취약점(CVE-2025-55163) [3][9]

□ 영향받는 제품 및 해결 방안

 ※ 하단의 참고사이트를 확인하여 업데이트 수행 [2][3]

 ※ HTTP/2 보안 업데이트가 공개된 운영체제를 운영하고 있을 경우, 참고 사이트의 내용을 참조하여 보안 조치 또는 업데이트 수행(각 OS별 보안 업데이트 상세 버전은 아래 링크 참고)

  – Apache Tomcat [2]

  – Netty [3]

  – SUSE [4]

  – Fastly [5]

  – H2O [6]

□ 참고사이트
[1] https://deepness-lab.org/publications/madeyoureset/

[2] https://lists.apache.org/thread/9ydfg0xr0tchmglcprhxgwhj0hfwxlyf

[3] https://github.com/netty/netty/security/advisories/GHSA-prj3-ccx8-p6x4

[4] https://www.suse.com/support/kb/doc/?id=000021980

[5] https://www.fastlystatus.com/incident/377810

[6] https://github.com/h2o/h2o/security/advisories/GHSA-mrjm-qq9m-9mjq

[7] https://nvd.nist.gov/vuln/detail/CVE-2025-8671

[8] https://nvd.nist.gov/vuln/detail/CVE-2025-48989

[9] https://nvd.nist.gov/vuln/detail/CVE-2025-55163

□ 문의사항
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118

□ 작성: 위협분석단 취약점분석팀