| タイトル | Tornadoのmultipart/form-dataパーサにリモートDoS攻撃を許す脆弱性 |
|---|---|
| 概要 | Tornadoは、PythonのWebフレームワークおよび非同期ネットワーキングライブラリです。Tornadoの「multipart/form-data」パーサは、特定のエラーに遭遇した際、警告をログに記録した後もデータの残りの解析処理を続行します。この動作により、リモートの攻撃者が非常に大量のログを生成でき、サービス拒否(DoS)攻撃が発生する可能性があります。また、ログ記録サブシステムが同期的であるため、このDoSがさらに深刻化する場合があります。Tornadoのバージョン6.5.0未満の全てが影響を受けており、脆弱なパーサはデフォルトで有効化されています。パッチを適用するには、Tornadoをバージョン6.5.0へアップグレードしてください。回避策として、プロキシで「Content-Type: multipart/form-data」をブロックすることでリスクを軽減できます。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2025年5月15日0:00 |
| 登録日 | 2025年12月25日16:58 |
| 最終更新日 | 2025年12月25日16:58 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Debian |
| Debian GNU/Linux 11.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年12月25日] 掲載 |
2025年12月25日16:58 |
| 概要 | Tornado is a Python web framework and asynchronous networking library. When Tornado's ``multipart/form-data`` parser encounters certain errors, it logs a warning but continues trying to parse the remainder of the data. This allows remote attackers to generate an extremely high volume of logs, constituting a DoS attack. This DoS is compounded by the fact that the logging subsystem is synchronous. All versions of Tornado prior to 6.5.0 are affected. The vulnerable parser is enabled by default. Upgrade to Tornado version 6.50 to receive a patch. As a workaround, risk can be mitigated by blocking `Content-Type: multipart/form-data` in a proxy. |
|---|---|
| 公表日 | 2025年5月16日7:15 |
| 登録日 | 2025年5月17日4:00 |
| 最終更新日 | 2025年5月16日7:15 |