摘要:
python-tornado security update
安全等级: High
公告ID: KylinSec-SA-2024-4397
发布日期: 2025年2月8日
关联CVE: CVE-2024-52804
Tornado是一个Python Web框架和异步网络库,最初在FriendFeed开发。通过使用非阻塞网络I/O,Tornado可以扩展到数十万个开放连接,使其非常适合长轮询、WebSockets和其他需要与每个用户保持长连接的应用。
安全修复:
Tornado是一个Python Web框架和异步网络库。在Tornado版本6.4.2之前,用于解析HTTP cookies的算法有时具有二次复杂度,导致在解析恶意构造的cookie头时CPU消耗过多。这种解析发生在事件循环线程中,可能会阻塞其他请求的处理。版本6.4.2修复了这个问题。(CVE-2024-52804)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-52804 | KY3.5.2 | python-tornado | Fixed |
| CVE-2024-52804 | KY3.5.3 | python-tornado | Fixed |
| CVE-2024-52804 | V6 | python-tornado | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python-tornado-help | x86_64 | 6.3.3-2.ks6 |
| python3-tornado | x86_64 | 6.3.3-2.ks6 |
| python-tornado-help | aarch64 | 6.3.3-2.ks6 |
| python3-tornado | aarch64 | 6.3.3-2.ks6 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python-tornado-help | x86_64 | 6.1-3.ky3_5 |
| python3-tornado | x86_64 | 6.1-3.ky3_5 |
| python-tornado-help | aarch64 | 6.1-3.ky3_5 |
| python3-tornado | aarch64 | 6.1-3.ky3_5 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python-tornado-help | x86_64 | 6.1-3.ky3_5 |
| python3-tornado | x86_64 | 6.1-3.ky3_5 |
| python-tornado-help | aarch64 | 6.1-3.ky3_5 |
| python3-tornado | aarch64 | 6.1-3.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
