一、 漏洞 CVE-2024-52804 基础信息
漏洞信息
                                        # Tornado存在HTTP cookie解析拒绝服务漏洞

## 漏洞概述
Tornado 是一个 Python Web 框架和异步网络库。在 Tornado 6.4.2 之前的版本中,用于解析 HTTP Cookies 的算法存在复杂度为二次方的问题,导致在解析恶意构建的 Cookie 头时会消耗过多 CPU。这种解析在事件循环线程中进行,可能会阻塞其他请求的处理。

## 影响版本
- Tornado 6.4.2 之前的版本

## 细节
- 在这些版本中,解析 HTTP Cookies 的算法存在性能问题,导致在解析恶意构造的 Cookie 头时,会发生 CPU 消耗过大。
- 该问题在版本 6.4.2 已经得到修复。

## 影响
- 解析恶意构造的 Cookie 头会消耗过多 CPU,且事件循环线程中的解析过程会阻塞其他请求的处理。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Tornado has HTTP cookie parsing DoS vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Tornado is a Python web framework and asynchronous networking library. The algorithm used for parsing HTTP cookies in Tornado versions prior to 6.4.2 sometimes has quadratic complexity, leading to excessive CPU consumption when parsing maliciously-crafted cookie headers. This parsing occurs in the event loop thread and may block the processing of other requests. Version 6.4.2 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
Tornado 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Tornado是中国龙卷风科技(Tornado)社区的一个Python Web框架和异步网络库。该库通过使用非阻塞网络I / O,可以扩展到成千上万的开放连接,使其非常适合 长时间轮询, WebSocket和其他需要与每个用户建立长期连接的应用程序。 Tornado 6.4.2之前版本存在安全漏洞,该漏洞源于用于解析 HTTP Cookie 的算法有时具有二次复杂度,导致在解析恶意制作的 Cookie 标头时 CPU 消耗过多。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52804 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-52804 的情报信息

  • 标题: There is a LOW severity vulnerability affecting CPython,... · CVE-2024-7592 · GitHub Advisory Database · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    There is a LOW severity vulnerability affecting CPython,... · CVE-2024-7592 · GitHub Advisory Database · GitHub

  • 标题: HTTP cookie parsing DoS vulnerability · Advisory · tornadoweb/tornado · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    HTTP cookie parsing DoS vulnerability · Advisory · tornadoweb/tornado · GitHub

  • 标题: httputil: Fix quadratic performance of cookie parsing · tornadoweb/tornado@d5ba4a1 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    httputil: Fix quadratic performance of cookie parsing · tornadoweb/tornado@d5ba4a1 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-52804