ALT-PU-2024-18247-1

Обновление пакета python3-module-tornado в ветке sisyphus

Версия6.4.2-alt1

Задание#363445

Опубликовано2024-11-26

Макс. серьёзностьHIGH

Серьёзность:

Закрытые проблемы (3)

HIGH7.5

Уязвимость асинхронной сетевой библиотеки Tornado, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-01-31Изменено: 2026-01-20

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2024-52804

HIGH7.5

Tornado is a Python web framework and asynchronous networking library. The algorithm used for parsing HTTP cookies in Tornado versions prior to 6.4.2 sometimes has quadratic complexity, leading to excessive CPU consumption when parsing maliciously-crafted cookie headers. This parsing occurs in the event loop thread and may block the processing of other requests. Version 6.4.2 fixes the issue.

Опубликовано: 2024-11-22Изменено: 2025-11-03

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

GHSA-8w49-h785-mj3c

HIGH7.5

Tornado has an HTTP cookie parsing DoS vulnerability

Опубликовано: 2024-11-22Изменено: 2025-11-04

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки