领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2021-22095: Spring-AMQP 远程拒绝服务 - 大消息体导致内存溢出错误
描述
Spring AMQP Message 对象的 toString() 方法会根据消息体的内容创建一个新的 String 对象,无论其大小如何。
这可能导致大消息体引发内存溢出 (OOM) 错误。
受影响的 Spring 产品和版本
- Spring AMQP
- 2.2.0 - 2.2.19
- 2.3.0 - 2.3.11
缓解措施
受影响版本的用户应采取以下缓解措施。2.3.x 用户应升级到 2.3.12。2.2.x 用户应升级到 2.2.20。无需其他步骤。toString() 方法现在仅当消息体长度为 50 字节或更少时才对其进行转换。已修复此问题的版本包括
- Spring AMQP
- 2.4.0
- 2.3.12
- 2.2.20
致谢
此问题由 Vasily Kochnev 发现并负责任地报告。
参考资料
历史
- 2021-11-29:发布初始漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略