一、基本情况
Tornado是一个高性能的Web框架和异步网络库,专为处理大规模并发连接设计。
二、漏洞描述
Tornado官方发布的安全公告,指出Tornado的multipart/form-data解析器存在日志拒绝服务漏洞。该解析器在默认启用的情况下,当遇到特定错误时,会记录警告信息并继续解析后续数据。这种处理方式使攻击者能够发送恶意请求,生成大量警告日志,从而消耗系统资源并导致拒绝服务(DoS)攻击。由于Tornado的日志子系统是同步的,漏洞的影响进一步加剧,导致日志处理延迟,进而影响系统性能。
三、影响范围
Tornado <= 6.4.2
四、修复建议
官方已发布安全更新,建议受影响用户尽快升级到Tornado 6.5.0版本。
