□ 개요
  o HTTP/2에서 발생하는 서비스 거부(MadeYouReset DDoS) 취약점에 대한 주의 권고 [1]
 
 o 영향받는 버전을 사용 중인 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고
 
 □ 설명
  o HTTP/2 사양과 일부 HTTP/2 구현의 내부 아키텍처 간에 클라이언트가 트리거하는 서버 전송 스트림 재설정으로 인해 발생하는 서비스 거부 취약점(CVE-2025-8671) [1][7]
 
 o Apache Tomcat의 HTTP/2에서 발생하는 서비스 거부 취약점(CVE-2025-48989) [2][8]
 
 o Netty의 HTTP/2에서 발생하는 서비스 거부 취약점(CVE-2025-55163) [3][9]
 
 □ 영향받는 제품 및 해결 방안
 
      
       
        
         
취약점
         
제품명
         
영향받는 버전
         
해결 버전
        
        
         
CVE-2025-8671
         
HTTP/2
         
제품별 참고사이트 확인
         
제품별 참고사이트 확인
        
        
         
CVE-2025-48989
         
Apache Tomcat
         
11.0.0-M1 이상 ~ 11.0.9 이하
         
11.0.10 이상
        
        
         
10.1.0-M1 이상 ~ 10.1.43 이하
         
10.1.44 이상
        
        
         
9.0.0.M1 이상 ~ 9.0.107 이하
         
9.0.108 이상
        
        
         
CVE-2025-55163
         
Netty
         
4.2.3 이하
         
4.2.4 이상
        
        
         
4.1.123 이하
         
4.1.124 이상
        
       
      
 
 ※ 하단의 참고사이트를 확인하여 업데이트 수행 [2][3]
 
 ※ HTTP/2 보안 업데이트가 공개된 운영체제를 운영하고 있을 경우, 참고 사이트의 내용을 참조하여 보안 조치 또는 업데이트 수행(각 OS별 보안 업데이트 상세 버전은 아래 링크 참고)
 
  - Apache Tomcat [2]
 
  - Netty [3]
 
  - SUSE [4]
 
  - Fastly [5]
 
  - H2O [6]
 

 □ 참고사이트
 [1] https://deepness-lab.org/publications/madeyoureset/
 
[2] https://lists.apache.org/thread/9ydfg0xr0tchmglcprhxgwhj0hfwxlyf
 
[3] https://github.com/netty/netty/security/advisories/GHSA-prj3-ccx8-p6x4
 
[4] https://www.suse.com/support/kb/doc/?id=000021980
 
[5] https://www.fastlystatus.com/incident/377810
 
[6] https://github.com/h2o/h2o/security/advisories/GHSA-mrjm-qq9m-9mjq
 
[7] https://nvd.nist.gov/vuln/detail/CVE-2025-8671
 
[8] https://nvd.nist.gov/vuln/detail/CVE-2025-48989
 
[9] https://nvd.nist.gov/vuln/detail/CVE-2025-55163
 

 
□ 문의사항
   o 한국인터넷진흥원 사이버민원센터: 국번없이 118
 
 □ 작성: 위협분석단 취약점분석팀