抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2021-22095:Spring-AMQP 远程拒绝服务 - 具有大型消息体的内存溢出错误
描述
Spring AMQP Message 对象的 toString() 方法会从消息体创建一个新的 String 对象,无论其大小如何。
这可能会导致具有大型消息体的 OOM 错误。
受影响的 Spring 产品和版本
- Spring AMQP
- 2.2.0 - 2.2.19
- 2.3.0 - 2.3.11
缓解措施
受影响版本的用户应应用以下缓解措施。 2.3.x 用户应升级到 2.3.12。 2.2.x 用户应升级到 2.2.20。 没有其他必要的步骤。 toString() 方法现在仅当正文长度为 50 个或更少字节时才转换正文。已修复此问题的版本包括
- Spring AMQP
- 2.4.0
- 2.3.12
- 2.2.20
鸣谢
此问题由 Vasily Kochnev 识别并负责任地报告。
参考
历史
- 2021-11-29:发布了初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中某个项目的安全漏洞,请参阅安全策略