python · python-engineioCrítico
python-engineio: correção de vulnerabilidade de negação de serviço no heartbeat
O mecanismo de heartbeat podia ser explorado para criar threads ou tarefas assíncronas desnecessárias por cliente, causando potencial negação de serviço.
O que mudou
O mecanismo de heartbeat podia ser explorado para criar threads ou tarefas assíncronas desnecessárias por cliente, causando potencial negação de serviço. A versão 4.13.2 corrige isso ao lançar a thread de heartbeat apenas após a autenticação do cliente e garantir apenas uma thread por cliente, descartando pacotes PONG fora de sequência.
Quem isso afeta
Usuários de python-engineio, especialmente os que executam servidores síncronos, pois são mais suscetíveis a negação de serviço baseada em threads.
O que fazer hoje
Atualize python-engineio para a versão 4.13.2 ou superior.
A esteira
Coletado→
Auditado→
Redigido→
Publicado