Debian dla-4461python-tornado-doc - 安全性更新

medium Nessus Plugin ID 297501

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機已安裝受到多個弱點影響的套件如 dla-4461 公告中所提及。

-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4461-1 [email protected] https://www.debian.org/lts/security/Daniel Leidert 2026 年 2 月 1 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

套件版本 6.1.0-1+deb11u3 CVE ID CVE-2025-67724 CVE-2025-67725 CVE-2025-67726 Debian 錯誤 1122660 1122661 1122663

Tornado 是一款可擴充、非封鎖 Python Web 架構與非同步網路程式庫。

CVE-2025-67724

自訂原因詞組在 HTTP 標頭中未逸出會造成多個弱點 (例如 XSS、標頭插入...)。

CVE-2025-67725

單一惡意特製的 HTTP 要求可能因重複標頭行的二次方效能而造成 DoS。

CVE-2025-67726

剖析 HTTP 標頭值的參數時無效的演算法可能造成 DoS。

針對 Debian 11 Bullseye這些問題已在 6.1.0-1+deb11u3 版本中修正。

建議您升級 python-tornado 套件。

如需 python-tornado 的詳細安全性狀態，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/python-tornado

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 這是數位簽署的訊息部分

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。