Beberapa implementasi HTTP/2 terpapar teknik serangan baru bernama MadeYouReset yang dapat dimanfaatkan untuk melancarkan denial-of-service (DoS) skala besar. Intinya, teknik ini menyingkirkan batas lazim ~100 permintaan konkuren per koneksi TCP yang biasanya dipakai server untuk menekan serangan. Akibatnya, penyerang dapat mendorong ribuan permintaan dan menguras sumber daya, hingga pada sejumlah vendor berujung crash akibat kehabisan memori.
MadeYouReset membangun serangan di atas konsep Rapid Reset (CVE-2023-44487) dan HTTP/2 CONTINUATION Flood, namun dengan twist penting: ia tidak perlu klien mengirim RST_STREAM. Sebaliknya, penyerang menyusun rangkaian frame yang memicu pelanggaran protokol pada momen tertentu sehingga server sendirilah yang menerbitkan RST_STREAM, sementara proses di backend masih berjalan. Ketimpangan ini menciptakan kondisi penumpukan kerja yang mendorong resource exhaustion.
Serangan dimulai dengan permintaan HTTP/2 yang valid agar server mulai memproses. Lalu, penyerang “mengguncang” urutan kontrol—misalnya dengan WINDOW_UPDATE bernilai 0 atau melewati ambang jendela, mengirim PRIORITY berukuran salah atau membuat dependensi ke dirinya sendiri, serta mengirim HEADERS/DATA setelah END_STREAM. Kombinasi seperti ini memicu pelanggaran urutan frame sehingga server mereset stream (mengirim RST_STREAM), tetapi pekerjaan di belakang layar masih diteruskan. Dikombinasikan ribuan kali, pola ini menghasilkan DoS masif seraya mengakali mitigasi Rapid Reset berbasis hitungan RST_STREAM dari sisi klien.
Isu ini mendapat pengenal generik CVE-2025-8671 karena memengaruhi banyak produk. Sejumlah proyek/vendor yang telah mengaitkan CVE spesifik antara lain: Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500), dan Netty (CVE-2025-55163). Seperti kasus HTTP/2 sebelumnya, dampak utamanya adalah degradasi layanan hingga layanan tidak dapat diakses ketika sumber daya CPU/memori menipis akibat gelombang stream yang di-reset.
Di Indonesia, reverse proxy, gateway API, dan aplikasi berbasis Java/Netty banyak digunakan pada e-commerce, fintech, telco, kampus, hingga sektor publik. Arsitektur dengan layer proxy → aplikasi sangat rentan jika lalu lintas tak sehat lolos dari lapisan tepi. Serangan berbiaya rendah ini dapat menenggelamkan situs niaga saat promo, menghambat layanan mobile banking, atau memutus akses panel internal bila proteksi dan rate limit tidak ketat.
Segera perbarui komponen HTTP/2 terdampak ke rilis yang telah ditambal dari vendor. Terapkan rate limiting berbasis koneksi dan stream concurrency di proxy/edge (bukan hanya di aplikasi). Pantau anomali RST_STREAM yang dipicu server, serta metrik backend (thread pool, request queue, heap) untuk mendeteksi kerja “hantu”. Aktifkan circuit breaker, graceful degradation, dan slow-client protection. Jika serangan berlangsung, turunkan prioritas HTTP/2 untuk klien mencurigakan, atau feature flag ke HTTP/1.1 hanya pada jalur tertentu sembari menambah lapisan WAF—namun ingat, HTTP/1.1 membawa risiko lain.
Tambahkan alert untuk lonjakan koneksi/stream, pola RST_STREAM server-initiated, dan ketidakseimbangan requests started vs responses completed. Uji ketahanan dengan alat seperti h2spec dan simulasi lalu lintas berbahaya yang meniru urutan frame cacat. Dokumentasikan SLA patch untuk komponen HTTP/2, lakukan table-top exercise, dan siapkan runbook traffic shedding ketika beban melonjak tak wajar.