一、漏洞詳情

Tornado是一個(gè)高性能的Web框架和異步網(wǎng)絡(luò)庫(kù)，專(zhuān)為處理大規(guī)模并發(fā)連接設(shè)計(jì)。

近日，監(jiān)測(cè)到Tornado官方發(fā)布的安全公告，指出Tornado的multipart/form-data解析器存在日志拒絕服務(wù)漏洞。該解析器在默認(rèn)啟用的情況下，當(dāng)遇到特定錯(cuò)誤時(shí)，會(huì)記錄警告信息并繼續(xù)解析后續(xù)數(shù)據(jù)。這種處理方式使攻擊者能夠發(fā)送惡意請(qǐng)求，生成大量警告日志，從而消耗系統(tǒng)資源并導(dǎo)致拒絕服務(wù)（DoS）攻擊。由于Tornado的日志子系統(tǒng)是同步的，漏洞的影響進(jìn)一步加劇，導(dǎo)致日志處理延遲，進(jìn)而影響系統(tǒng)性能。

建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

Tornado <= 6.4.2

三、修復(fù)建議

官方已發(fā)布安全更新，建議受影響用戶盡快升級(jí)到Tornado 6.5.0版本。