领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring 安全公告
CVE-2021-22095:Spring-AMQP 远程拒绝服务 - 大消息体导致内存溢出错误
描述
Spring AMQP Message 对象在其 toString() 方法中,会无论消息体大小如何,都会从消息体创建一个新的 String 对象。
这可能会导致大消息体出现 OOM 错误。
受影响的 Spring 产品和版本
- Spring AMQP
- 2.2.0 - 2.2.19
- 2.3.0 - 2.3.11
缓解措施
受影响版本的使用者应该应用以下缓解措施。2.3.x 用户应升级到 2.3.12。2.2.x 用户应升级到 2.2.20。无需其他步骤。toString() 方法现在仅在长度为 50 字节或更少时转换消息体。已修复此问题的版本包括
- Spring AMQP
- 2.4.0
- 2.3.12
- 2.2.20
致谢
此问题由 Vasily Kochnev 发现并负责报告。
参考文献
历史记录
- 2021-11-29:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略