領先一步
VMware 提供訓練和認證,以加速您的進度。
了解更多Spring Security 安全性建議
CVE-2021-22097:Spring-AMQP 遠端阻斷服務 - 惡意建構的 java.util.Dictionary 物件反序列化
描述
Spring AMQP Message 物件的 toString() 方法,將反序列化內容類型為 application/x-java-serialized-object 的訊息主體。java.lang 和 java.util 套件中的類別是受信任的。
有可能建構惡意的 java.util.Dictionary 物件,如果呼叫 toString() 方法,可能會導致應用程式的 CPU 使用率達到 100%。
這需要攻擊者具有權限,才能將具有此類主體的訊息直接發佈到 RabbitMQ 伺服器。
受影響的 Spring 產品和版本
- Spring AMQP
- 2.2.0 - 2.2.18
- 2.3.0 - 2.3.10
緩解措施
不要允許不可信任的行為者將任意資料發佈到 RabbitMQ。受影響版本的用戶應採用以下緩解措施。2.3.x 用戶應升級到 2.3.11。2.2.x 用戶應升級到 2.2.19。不需要其他步驟。已修復此問題的版本包括
- Spring AMQP
- 2.3.11
- 2.2.19
致謝
此問題由美團公司資訊安全部門的 r00t4dm Cloud-Penetrating Arrow Lab 發現並負責地報告。
參考文獻
歷史紀錄
- 2021-10-26:發布初始漏洞報告。
報告漏洞
若要報告 Spring 產品組合中的專案安全性漏洞,請參閱安全性原則