一、漏洞详情
Tornado是一个高性能的Web框架和异步网络库,专为处理大规模并发连接设计。
近日,监测到Tornado官方发布的安全公告,指出Tornado的multipart/form-data解析器存在日志拒绝服务漏洞。该解析器在默认启用的情况下,当遇到特定错误时,会记录警告信息并继续解析后续数据。这种处理方式使攻击者能够发送恶意请求,生成大量警告日志,从而消耗系统资源并导致拒绝服务(DoS)攻击。由于Tornado的日志子系统是同步的,漏洞的影响进一步加剧,导致日志处理延迟,进而影响系统性能。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Tornado <= 6.4.2
三、修复建议
官方已发布安全更新,建议受影响用户尽快升级到Tornado 6.5.0版本。