ГлавнаяБаза уязвимостей БДУ → BDU:2025-00918
7.8высокая

BDU:2025-00918 (CVE-2024-52804)

Уязвимость асинхронной сетевой библиотеки Tornado, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-01-31
Описание

Уязвимость асинхронной сетевой библиотеки Tornado связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)Astra Linux Common Edition (1.6 «Смоленск»)SUSE Liberty Linux (9)Red Hat Enterprise Linux (9.2 Extended Update Support)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)OpenSUSE Leap (15.6)Astra Linux Special Edition (1.8)Red Hat Enterprise Linux (9.4 Extended Update Support)SUSE Linux Enterprise Module for Python 3 (15 SP5)SUSE Linux Enterprise Module for Python 3 (15 SP6)Tornado (до 6.4.1 включительно)
Способ устранения

Использование рекомендаций:
https://github.com/advisories/GHSA-7pwv-g7hj-39pr
https://github.com/tornadoweb/tornado/commit/d5ba4a1695fbf7c6a3e54313262639b198291533
https://github.com/tornadoweb/tornado/security/advisories/GHSA-8w49-h785-mj3c

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-tornado-cve-2024-52804/?sphrase_id=643964

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-52804

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-52804

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-52804.html

Для ОС Astra Linux:
обновить пакет python-tornado до 5.1.1-4.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17



Для ОС Astra Linux:
обновить пакет python-tornado до 6.2.0-3.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
обновить пакет python-tornado до 5.1.1-4.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для ОС Astra Linux:
обновить пакет python-tornado до 4.4.3-1+deb9u1+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-tornado-cve-2024-52804/?sphrase_id=643964https://github.com/advisories/GHSA-7pwv-g7hj-39prhttps://github.com/tornadoweb/tornado/commit/d5ba4a1695fbf7c6a3e54313262639b198291533https://github.com/tornadoweb/tornado/security/advisories/GHSA-8w49-h785-mj3chttps://security-tracker.debian.org/tracker/CVE-2024-52804https://access.redhat.com/security/cve/cve-2024-52804https://www.suse.com/security/cve/CVE-2024-52804.html
Проверьте безопасность своего сайта и почты → Полная проверка домена