搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2021-22095:Spring-AMQP 遠端拒絕服務 - 具有大型訊息體的記憶體溢位錯誤
描述
Spring AMQP Message 物件的 toString() 方法會從訊息體建立一個新的 String 物件,無論其大小如何。
這可能會導致具有大型訊息體的 OOM 錯誤。
受影響的 Spring 產品和版本
- Spring AMQP
- 2.2.0 - 2.2.19
- 2.3.0 - 2.3.11
緩解措施
受影響版本的使用者應應用以下緩解措施。 2.3.x 使用者應升級到 2.3.12。 2.2.x 使用者應升級到 2.2.20。 沒有其他必要的步驟。 toString() 方法現在僅當正文長度為 50 個或更少位元組時才轉換正文。已修復此問題的版本包括
- Spring AMQP
- 2.4.0
- 2.3.12
- 2.2.20
鳴謝
此問題由 Vasily Kochnev 識別並負責任地報告。
參考
歷史
- 2021-11-29:釋出了初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中某個專案的安全漏洞,請參閱安全策略