領先一步
VMware 提供訓練和認證,可加速您的進展。
深入瞭解Spring Security 安全性建議
CVE-2021-22095:Spring-AMQP 遠端阻斷服務 - 具有大型訊息主體的記憶體不足錯誤
描述
Spring AMQP Message 物件在其 toString() 方法中,將從訊息主體建立一個新的 String 物件,無論其大小。
這可能會導致具有大型訊息主體的 OOM 錯誤。
受影響的 Spring 產品和版本
- Spring AMQP
- 2.2.0 - 2.2.19
- 2.3.0 - 2.3.11
緩解措施
受影響版本的用戶應套用以下緩解措施。 2.3.x 用戶應升級到 2.3.12。 2.2.x 用戶應升級到 2.2.20。不需要其他步驟。 toString() 方法現在僅在主體長度為 50 個或更少位元組時才轉換主體。已修復此問題的版本包括
- Spring AMQP
- 2.4.0
- 2.3.12
- 2.2.20
貢獻
此問題由 Vasily Kochnev 識別並負責地報告。
參考文獻
歷史
- 2021-11-29:發布初始漏洞報告。
報告漏洞
若要報告 Spring 系列產品中的專案的安全性漏洞,請參閱安全性原則