python · tornadoCrítico
Tornado: correção de vulnerabilidade de exaustão de memória na descompressão gzip
As rotinas de descompressão gzip do Tornado agora verificam max_body_size tanto para o tamanho comprimido quanto para o tamanho descomprimido acumulado da respo
O que mudou
As rotinas de descompressão gzip do Tornado agora verificam max_body_size tanto para o tamanho comprimido quanto para o tamanho descomprimido acumulado da resposta, corrigindo uma vulnerabilidade de exaustão de memória.
Quem isso afeta
Usuários do SimpleAsyncHTTPClient em sua configuração padrão e usuários do HTTPServer com decompress_request=True.
O que fazer hoje
Atualize para Tornado 6.5.6 ou superior. Se não for possível atualizar, defina decompress_response=False ou use CurlAsyncHTTPClient.
A esteira
Coletado→
Auditado→
Redigido→
Publicado