一、漏洞詳情

Tornado是一個高性能的Web框架和異步網(wǎng)絡庫，專為處理大規(guī)模并發(fā)連接設計。

近日，監(jiān)測到Tornado官方發(fā)布的安全公告，指出Tornado的multipart/form-data解析器存在日志拒絕服務漏洞。該解析器在默認啟用的情況下，當遇到特定錯誤時，會記錄警告信息并繼續(xù)解析后續(xù)數(shù)據(jù)。這種處理方式使攻擊者能夠發(fā)送惡意請求，生成大量警告日志，從而消耗系統(tǒng)資源并導致拒絕服務（DoS）攻擊。由于Tornado的日志子系統(tǒng)是同步的，漏洞的影響進一步加劇，導致日志處理延遲，進而影響系統(tǒng)性能。

建議受影響用戶做好資產(chǎn)自查以及預防工作，以免遭受黑客攻擊。

二、影響范圍

Tornado <= 6.4.2

三、修復建議

官方已發(fā)布安全更新，建議受影響用戶盡快升級到Tornado 6.5.0版本。