一�����、漏洞詳情
Tornado是一個高性能的Web框架和異步網(wǎng)絡(luò)庫��,專為處理大規(guī)模并發(fā)連接設(shè)計。
近日��,監(jiān)測到Tornado官方發(fā)布的安全公告�,指出Tornado的multipart/form-data解析器存在日志拒絕服務(wù)漏洞。該解析器在默認啟用的情況下��,當遇到特定錯誤時�,會記錄警告信息并繼續(xù)解析后續(xù)數(shù)據(jù)。這種處理方式使攻擊者能夠發(fā)送惡意請求��,生成大量警告日志��,從而消耗系統(tǒng)資源并導致拒絕服務(wù)(DoS)攻擊���。由于Tornado的日志子系統(tǒng)是同步的�����,漏洞的影響進一步加劇����,導致日志處理延遲�,進而影響系統(tǒng)性能。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作�����,以免遭受黑客攻擊�����。
二���、影響范圍
Tornado <= 6.4.2
三、修復(fù)建議
官方已發(fā)布安全更新�����,建議受影響用戶盡快升級到Tornado 6.5.0版本�����。