Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00918

Опубликовано: 22 нояб. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость асинхронной сетевой библиотеки Tornado связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Red Hat Inc.
FriendFeed

Наименование ПО

OpenSUSE Leap
openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Red Hat Enterprise Linux
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
SUSE Linux Enterprise High Performance Computing
SUSE Liberty Linux
SUSE Linux Enterprise Module for Python 3
Tornado

Версия ПО

15.5 (OpenSUSE Leap)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
9 (SUSE Liberty Linux)
9.2 Extended Update Support (Red Hat Enterprise Linux)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15.6 (OpenSUSE Leap)
1.8 (Astra Linux Special Edition)
9.4 Extended Update Support (Red Hat Enterprise Linux)
15 SP5 (SUSE Linux Enterprise Module for Python 3)
15 SP6 (SUSE Linux Enterprise Module for Python 3)
до 6.4.1 включительно (Tornado)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Novell Inc. SUSE Liberty Linux 9
Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/advisories/GHSA-7pwv-g7hj-39pr
https://github.com/tornadoweb/tornado/commit/d5ba4a1695fbf7c6a3e54313262639b198291533
https://github.com/tornadoweb/tornado/security/advisories/GHSA-8w49-h785-mj3c
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-tornado-cve-2024-52804/?sphrase_id=643964
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-52804
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-52804
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-52804.html
Для ОС Astra Linux:
обновить пакет python-tornado до 5.1.1-4.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет python-tornado до 6.2.0-3.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux:
обновить пакет python-tornado до 5.1.1-4.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00245
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-52804

CVSS3: 7.5
ubuntu
7 месяцев назад

Tornado is a Python web framework and asynchronous networking library. The algorithm used for parsing HTTP cookies in Tornado versions prior to 6.4.2 sometimes has quadratic complexity, leading to excessive CPU consumption when parsing maliciously-crafted cookie headers. This parsing occurs in the event loop thread and may block the processing of other requests. Version 6.4.2 fixes the issue.

redhat логотип

CVE-2024-52804

CVSS3: 7.5
redhat
7 месяцев назад

Tornado is a Python web framework and asynchronous networking library. The algorithm used for parsing HTTP cookies in Tornado versions prior to 6.4.2 sometimes has quadratic complexity, leading to excessive CPU consumption when parsing maliciously-crafted cookie headers. This parsing occurs in the event loop thread and may block the processing of other requests. Version 6.4.2 fixes the issue.

nvd логотип

CVE-2024-52804

CVSS3: 7.5
nvd
7 месяцев назад

Tornado is a Python web framework and asynchronous networking library. The algorithm used for parsing HTTP cookies in Tornado versions prior to 6.4.2 sometimes has quadratic complexity, leading to excessive CPU consumption when parsing maliciously-crafted cookie headers. This parsing occurs in the event loop thread and may block the processing of other requests. Version 6.4.2 fixes the issue.

debian логотип

CVE-2024-52804

CVSS3: 7.5
debian
7 месяцев назад

Tornado is a Python web framework and asynchronous networking library. ...

suse-cvrf логотип

SUSE-SU-2024:4137-1

suse-cvrf
7 месяцев назад

Security update for python-tornado6

EPSS

Процентиль: 48%
0.00245
Низкий

7.5 High

CVSS3

7.8 High

CVSS2