領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2021-22095: Spring-AMQP 遠端拒絕服務 - 大訊息體導致記憶體溢位錯誤
描述
Spring AMQP Message 物件的 toString() 方法會根據訊息體的內容建立一個新的 String 物件,無論其大小如何。
這可能導致大訊息體引發記憶體溢位 (OOM) 錯誤。
受影響的 Spring 產品和版本
- Spring AMQP
- 2.2.0 - 2.2.19
- 2.3.0 - 2.3.11
緩解措施
受影響版本的使用者應採取以下緩解措施。2.3.x 使用者應升級到 2.3.12。2.2.x 使用者應升級到 2.2.20。無需其他步驟。toString() 方法現在僅當訊息體長度為 50 位元組或更少時才對其進行轉換。已修復此問題的版本包括
- Spring AMQP
- 2.4.0
- 2.3.12
- 2.2.20
致謝
此問題由 Vasily Kochnev 發現並負責任地報告。
參考資料
歷史
- 2021-11-29:釋出初始漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略