USN-8198-1: Tornado-Schwachstellen

USN-8198-1: Tornado-Schwachstellen

Veröffentlichungsdatum: 22. April 2026
Überblick: In Tornado wurden mehrere Sicherheitslücken behoben.

Pakete
python-tornado - skalierbarer, nicht-blockierender Webserver und Werkzeuge

Details
Es wurde festgestellt, dass Tornado das Parsen von großen
mehrteiligen Anfragekörpern falsch behandelt. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um
einen Denial-of-Service auslösen. (CVE-2026-31958)

Es wurde entdeckt, dass Tornado Zeichen in Cookie-Werten nicht richtig validiert.
Cookie-Werten. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen, um
beliebige Cookie-Attribute einschleusen (CVE-2026-35536).

Anweisungen zur Aktualisierung
Im Allgemeinen wird eine Standard-Systemaktualisierung alle notwendigen Änderungen vornehmen.
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

• 25.10 questing python3-tornado - 6.4.2-3ubuntu0.3
• 24.04 LTS noble python3-tornado - 6.4.0-1ubuntu0.5
• 22.04 LTS jammy python3-tornado - 6.1.0-3ubuntu0.1~esm5
• 20.04 LTS focal python3-tornado - 6.0.3+really5.1.1-3ubuntu0.1~esm5
• 18.04 LTS bionisch python-tornado - 4.5.3-1ubuntu0.2+esm3
• python3-tornado - 4.5.3-1ubuntu0.2+esm3
• 16.04 LTS xenial python-tornado - 4.2.1-1ubuntu3.1+esm3
• python3-tornado - 4.2.1-1ubuntu3.1+esm3